Einen Ressourcenanteil erstellen in AWS RAM - AWS Resource Access Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen Ressourcenanteil erstellen in AWS RAM

Um Ressourcen, die Ihnen gehören, gemeinsam zu nutzen, erstellen Sie eine Ressourcenfreigabe. Es folgt eine Übersicht über den Prozess:

  1. Fügen Sie die Ressourcen hinzu, die Sie teilen möchten.

  2. Geben Sie für jeden Ressourcentyp, den Sie in die gemeinsame Nutzung aufnehmen, die verwaltete Berechtigung an, die für diesen Ressourcentyp verwendet werden soll.

    • Sie können zwischen einer der verfügbaren AWS verwalteten Berechtigungen, einer vorhandenen vom Kunden verwalteten Berechtigung wählen oder eine neue vom Kunden verwaltete Berechtigung erstellen.

    • AWS verwaltete Berechtigungen werden von erstellt AWS , um Standardanwendungsfälle abzudecken.

    • Mit vom Kunden verwalteten Berechtigungen können Sie Ihre eigenen verwalteten Berechtigungen an Ihre Sicherheits- und Geschäftsanforderungen anpassen.

    Anmerkung

    Wenn die ausgewählte verwaltete Berechtigung mehrere Versionen hat, wird AWS RAM automatisch die Standardversion angehängt. Sie können nur die Version anhängen, die als Standardversion festgelegt ist.

  3. Geben Sie die Prinzipale an, die Zugriff auf die Ressourcen haben sollen.

Überlegungen

  • Wenn Sie später eine AWS Ressource löschen müssen, die Sie in eine Freigabe aufgenommen haben, empfehlen wir, die Ressource zunächst entweder aus einer Ressourcenfreigabe zu entfernen, die sie enthält, oder die Ressourcenfreigabe zu löschen.

  • Die Ressourcentypen, die Sie in eine Ressourcenfreigabe aufnehmen können, sind unter aufgeführtGemeinsam nutzbare Ressourcen AWS.

  • Sie können eine Ressource nur gemeinsam nutzen, wenn Sie sie besitzen. Sie können eine Ressource, die mit Ihnen geteilt wurde, nicht teilen.

  • AWS RAM ist ein regionaler Dienst. Wenn Sie eine Ressource mit Prinzipalen in anderen teilen AWS-Konten, müssen diese Prinzipale auf jede Ressource von derselben Seite aus zugreifen AWS-Region , in der sie erstellt wurde. Auf unterstützte globale Ressourcen können Sie von allen AWS-Region Ressourcen aus zugreifen, die von der Servicekonsole und den Tools der jeweiligen Ressource unterstützt werden. Sie können solche gemeinsam genutzten Ressourcen und ihre globalen Ressourcen in der AWS RAM Konsole und in den Tools nur in der angegebenen Heimatregion, USA Ost (Nord-Virginia), einsehenus-east-1. Weitere Informationen zu AWS RAM und globalen Ressourcen finden Sie unterGemeinsame Nutzung regionaler Ressourcen im Vergleich zu globalen Ressourcen.

  • Wenn das Konto, von dem aus Sie Inhalte teilen, Teil einer Organisation ist AWS Organizations und die gemeinsame Nutzung innerhalb Ihrer Organisation aktiviert ist, erhalten alle Prinzipale in der Organisation, für die Sie Inhalte freigeben, automatisch Zugriff auf die Ressourcenfreigaben, ohne dass Einladungen erforderlich sind. Ein Hauptbenutzer in einem Konto, mit dem Sie Inhalte außerhalb des Unternehmenskontextes teilen, erhält eine Einladung zur Teilnahme an der Resource Share und erhält erst dann Zugriff auf die gemeinsam genutzten Ressourcen, wenn sie die Einladung annehmen.

  • Wenn Sie die Ressource mit einem Dienstprinzipal teilen, können Sie der Ressourcenfreigabe keine anderen Prinzipale zuordnen.

  • Wenn die gemeinsame Nutzung zwischen Konten oder Prinzipalen erfolgt, die Teil einer Organisation sind, wirken sich alle Änderungen an der Organisationsmitgliedschaft dynamisch auf den Zugriff auf die gemeinsam genutzte Ressource aus.

    • Wenn Sie der Organisation oder Organisationseinheit ein Konto hinzufügen, das Zugriff auf eine Ressourcenfreigabe hat, erhält dieses neue Mitgliedskonto automatisch Zugriff auf die Ressourcenfreigabe. AWS-Konto Der Administrator des Kontos, für das Sie eine gemeinsame Nutzung vorgenommen haben, kann dann einzelnen Prinzipalen in diesem Konto Zugriff auf die Ressourcen in dieser Freigabe gewähren.

    • Wenn Sie ein Konto aus der Organisation oder einer Organisationseinheit entfernen, die Zugriff auf eine Ressourcenfreigabe hat, verlieren alle Prinzipale in diesem Konto automatisch den Zugriff auf Ressourcen, auf die über diese Ressourcenfreigabe zugegriffen wurde.

    • Wenn Sie Rollen oder Benutzer im Mitgliedskonto direkt für ein Mitgliedskonto oder für IAM freigegeben haben und dann dieses Konto aus der Organisation entfernen, verlieren alle Principals in diesem Konto den Zugriff auf die Ressourcen, auf die über diese Ressourcenfreigabe zugegriffen wurde.

    Wichtig

    Wenn Sie Daten für eine Organisation oder eine Organisationseinheit freigeben und dieser Bereich auch das Konto umfasst, dem die Ressourcenfreigabe gehört, erhalten alle Principals im gemeinsam genutzten Konto automatisch Zugriff auf die Ressourcen in der Freigabe. Der gewährte Zugriff wird durch die verwalteten Berechtigungen definiert, die mit der Freigabe verknüpft sind. Dies liegt daran, dass die ressourcenbasierte Richtlinie, die AWS RAM jeder Ressource in der Freigabe zugewiesen ist, verwendet. "Principal": "*" Weitere Informationen finden Sie unter Auswirkungen der Verwendung "Principal": "*" in einer ressourcenbasierten Politik.

    Principals in den anderen Accounts, die diese Nutzung nutzen, erhalten nicht sofort Zugriff auf die Ressourcen der Aktie. Die Administratoren der anderen Konten müssen zunächst identitätsbasierte Berechtigungsrichtlinien an die entsprechenden Principals anhängen. Diese Richtlinien müssen Allow Zugriff auf die einzelnen Ressourcen im ARNs Resource Share gewähren. Die Berechtigungen in diesen Richtlinien dürfen die in der verwalteten Berechtigung für die Ressourcenfreigabe angegebenen Berechtigungen nicht überschreiten.

  • Sie können Ihren Ressourcenfreigaben nur die Organisation hinzufügen, der Ihr Konto OUs angehört, und aus dieser Organisation stammen. Sie können einer Ressourcenfreigabe keine Organisationen OUs oder Organisationen von außerhalb Ihrer eigenen Organisation als Prinzipale hinzufügen. Sie können jedoch einzelne AWS-Konten oder, bei unterstützten Diensten, IAM-Rollen und Benutzer von außerhalb Ihrer Organisation als Principals zu einer Ressourcenfreigabe hinzufügen.

    Anmerkung

    Nicht alle Ressourcentypen können mit IAM-Rollen und Benutzern geteilt werden. Informationen zu Ressourcen, die Sie mit diesen Prinzipalen gemeinsam nutzen können, finden Sie unter. Gemeinsam nutzbare Ressourcen AWS

  • Für die folgenden Ressourcentypen haben Sie sieben Tage Zeit, um die Einladung zur Teilnahme an der Share für die folgenden Ressourcentypen anzunehmen. Wenn du die Einladung nicht annimmst, bevor sie abläuft, wird die Einladung automatisch abgelehnt.

    Wichtig

    Für gemeinsam genutzte Ressourcentypen, die nicht in der folgenden Liste aufgeführt sind, haben Sie 12 Stunden Zeit, um die Einladung zur Teilnahme an der Resource Share anzunehmen. Nach 12 Stunden läuft die Einladung ab und die Zuordnung des Endbenutzer-Hauptbenutzers zur Resource Share wird aufgehoben. Die Einladung kann von Endbenutzern nicht mehr angenommen werden.

    • Amazon Aurora — DB-Cluster

    • Amazon EC2 — Kapazitätsreservierungen und engagierte Gastgeber

    • AWS License Manager — Lizenzkonfigurationen

    • AWS Outposts — Routentabellen, Außenposten und Standorte für lokale Gateways

    • Amazon Route 53 — Speditionsregeln

    • Amazon VPC — Kundeneigene IPv4 Adressen, Präfixlisten, Subnetze, Traffic Mirror-Ziele, Transit-Gateways, Transit-Gateway-Multicast-Domänen

Console
Um eine Ressourcenfreigabe zu erstellen

  1. Öffnen Sie die AWS RAM -Konsole.

  2. Da es bestimmte AWS RAM Ressourcenfreigaben gibt AWS-Regionen, wählen Sie die entsprechende Option AWS-Region aus der Dropdownliste in der oberen rechten Ecke der Konsole aus. Um Ressourcenfreigaben zu sehen, die globale Ressourcen enthalten, müssen Sie den Wert AWS-Region auf USA Ost (Nord-Virginia), () setzen. us-east-1 Weitere Informationen zur gemeinsamen Nutzung globaler Ressourcen finden Sie unterGemeinsame Nutzung regionaler Ressourcen im Vergleich zu globalen Ressourcen. Wenn Sie globale Ressourcen in die gemeinsame Nutzung von Ressourcen einbeziehen möchten, müssen Sie die angegebene Heimatregion, USA Ost (Nord-Virginia), auswählenus-east-1.

  3. Wenn Sie noch keine Erfahrung damit haben AWS RAM, wählen Sie auf der Startseite die Option Ressourcenfreigabe erstellen aus. Wählen Sie andernfalls auf der Seite Von mir geteilt: Gemeinsam genutzte Ressourcen die Option Ressourcenfreigabe erstellen aus.

  4. Gehen Sie in Schritt 1: Angaben zur Ressourcenfreigabe angeben wie folgt vor:

    1. Geben Sie unter Name einen beschreibenden Namen für die Ressourcenfreigabe ein.

    2. Wählen Sie unter Ressourcen wie folgt Ressourcen aus, die der Ressourcenfreigabe hinzugefügt werden sollen:

      • Wählen Sie unter Ressourcentyp auswählen den Ressourcentyp aus, den Sie gemeinsam nutzen möchten. Dadurch wird die Liste der gemeinsam nutzbaren Ressourcen auf die Ressourcen des ausgewählten Typs gefiltert.

      • Aktivieren Sie in der resultierenden Ressourcenliste die Kontrollkästchen neben den einzelnen Ressourcen, die Sie gemeinsam nutzen möchten. Die ausgewählten Ressourcen werden unter Ausgewählte Ressourcen verschoben.

        Wenn Sie Ressourcen gemeinsam nutzen, die einer bestimmten Availability Zone zugeordnet sind, können Sie mithilfe der Availability Zone ID (AZ-ID) den relativen Standort dieser Ressourcen zwischen Konten ermitteln. Weitere Informationen finden Sie unter Availability Zone IDs für Ihre AWS Ressourcen.

    3. (Optional) Um der Ressourcenfreigabe Tags hinzuzufügen, geben Sie unter Tags einen Tag-Schlüssel und einen Tag-Wert ein. Fügen Sie weitere hinzu, indem Sie Neues Tag hinzufügen wählen. Wiederholen Sie diesen Schritt nach Bedarf. Diese Tags gelten nur für die Ressourcenfreigabe selbst, nicht für die Ressourcen in der Ressourcenfreigabe.

  5. Wählen Sie Weiter.

  6. In Schritt 2: Ordnen Sie jedem Ressourcentyp eine verwaltete Berechtigung zu, können Sie wählen, ob Sie dem Ressourcentyp eine verwaltete Berechtigung zuordnen, eine bestehende vom AWS Kunden verwaltete Berechtigung auswählen oder Ihre eigene vom Kunden verwaltete Berechtigung für unterstützte Ressourcentypen erstellen möchten. Weitere Informationen finden Sie unter Arten von verwalteten Berechtigungen.

    Wählen Sie Vom Kunden verwaltete Berechtigung erstellen aus, um eine vom Kunden verwaltete Berechtigung zu erstellen, die den Anforderungen Ihres Anwendungsfalls zum Teilen entspricht. Weitere Informationen finden Sie unter Erstellen Sie eine vom Kunden verwaltete Berechtigung. Wählen Sie nach Abschluss des Vorgangs Ihre neue vom Kunden verwaltete Berechtigung aus der Dropdownliste Verwaltete Berechtigungen aus Refresh icon und wählen Sie anschließend Ihre neue vom Kunden verwaltete Berechtigung aus.

    Anmerkung

    Wenn die ausgewählte verwaltete Berechtigung mehrere Versionen hat, wird AWS RAM automatisch die Standardversion angehängt. Sie können nur die Version anhängen, die als Standardversion festgelegt wurde.

    Um die Aktionen anzuzeigen, die die verwaltete Berechtigung zulässt, erweitern Sie die Option Richtlinienvorlage für diese verwaltete Berechtigung anzeigen.

  7. Wählen Sie Weiter.

  8. Gehen Sie in Schritt 3: Prinzipalen Zugriff gewähren wie folgt vor:

    1. Standardmäßig ist Freigabe für alle zulassen aktiviert, was bedeutet, dass Sie für die Ressourcentypen, die dies unterstützen, Ressourcen mit Ressourcen teilen können, AWS-Konten die sich außerhalb Ihrer Organisation befinden. Dies wirkt sich nicht auf Ressourcentypen aus, die nur innerhalb einer Organisation gemeinsam genutzt werden können, wie z. B. Amazon VPC-Subnetze. Sie können einige unterstützte Ressourcentypen auch für IAM-Rollen und -Benutzer freigeben.

      Um die gemeinsame Nutzung von Ressourcen auf Konten und Prinzipale in Ihrer Organisation zu beschränken, wählen Sie Freigabe nur innerhalb Ihrer Organisation zulassen aus.

    2. Gehen Sie für Principals wie folgt vor:

      • Um die Organisation, eine Organisationseinheit (OU) oder eine Organisation, AWS-Konto die Teil einer Organisation ist, hinzuzufügen, aktivieren Sie die Option Organisationsstruktur anzeigen. Dadurch wird eine Strukturansicht Ihrer Organisation angezeigt. Aktivieren Sie dann das Kontrollkästchen neben jedem Prinzipal, den Sie hinzufügen möchten.

        Wichtig

        Wenn Sie Inhalte für eine Organisation oder eine Organisationseinheit freigeben und dieser Bereich auch das Konto umfasst, dem die Ressourcenfreigabe gehört, erhalten alle Prinzipale im Freigabekonto automatisch Zugriff auf die Ressourcen in der Freigabe. Der gewährte Zugriff wird durch die verwalteten Berechtigungen definiert, die mit der Freigabe verknüpft sind. Dies liegt daran, dass die ressourcenbasierte Richtlinie, die AWS RAM jeder Ressource in der Freigabe zugewiesen ist, verwendet. "Principal": "*" Weitere Informationen finden Sie unter Auswirkungen der Verwendung "Principal": "*" in einer ressourcenbasierten Politik.

        Principals in den anderen Accounts, die diese Nutzung nutzen, erhalten nicht sofort Zugriff auf die Ressourcen der Aktie. Die Administratoren der anderen Konten müssen zunächst identitätsbasierte Berechtigungsrichtlinien an die entsprechenden Principals anhängen. Diese Richtlinien müssen Allow Zugriff auf die einzelnen Ressourcen im ARNs Resource Share gewähren. Die Berechtigungen in diesen Richtlinien dürfen die in der verwalteten Berechtigung für die Ressourcenfreigabe angegebenen Berechtigungen nicht überschreiten.

        • Wenn Sie die Organisation auswählen (die ID beginnt mito-), können Prinzipale in der gesamten AWS-Konten Organisation auf die Ressourcenfreigabe zugreifen.

        • Wenn Sie eine Organisationseinheit auswählen (die ID beginnt mitou-), OUs können alle Prinzipale AWS-Konten in dieser Organisationseinheit und der zugehörigen untergeordneten Organisationseinheit auf die Ressourcenfreigabe zugreifen.

        • Wenn Sie eine Einzelperson auswählen AWS-Konto, können nur Principals in diesem Konto auf die Ressourcenfreigabe zugreifen.

        Anmerkung

        Die Option „Organisationsstruktur anzeigen“ wird nur angezeigt, wenn „Teilen mit“ aktiviert AWS Organizations ist und Sie beim Verwaltungskonto der Organisation angemeldet sind.

        Sie können diese Methode nicht verwenden, um eine Rolle oder einen Benutzer AWS-Konto außerhalb Ihrer Organisation oder eines IAM-Benutzers anzugeben. Stattdessen müssen Sie die Option Organisationsstruktur anzeigen deaktivieren und die Dropdownliste und das Textfeld verwenden, um die ID oder den ARN einzugeben.

      • Um einen Prinzipal nach ID oder ARN anzugeben, einschließlich Prinzipalen, die sich außerhalb der Organisation befinden, wählen Sie für jeden Prinzipal den Prinzipaltyp aus. Geben Sie als Nächstes die ID (für eine AWS-Konto Organisation oder OU) oder den ARN (für eine IAM-Rolle oder einen IAM-Benutzer) ein und wählen Sie dann Hinzufügen. Die verfügbaren Prinzipaltypen sowie ID- ARN ARN-Formate lauten wie folgt:

        • AWS-Konto— Um eine hinzuzufügen AWS-Konto, geben Sie die 12-stellige Konto-ID ein. Zum Beispiel:

          123456789012

        • Organisation — Um alle zu Ihrer Organisation hinzuzufügen, geben Sie die ID der Organisation ein. AWS-Konten Zum Beispiel:

          o-abcd1234

        • Organisationseinheit (OU) — Um eine OU hinzuzufügen, geben Sie die ID der OU ein. Zum Beispiel:

          ou-abcd-1234efgh

        • IAM-Rolle — Um eine IAM-Rolle hinzuzufügen, geben Sie den ARN der Rolle ein. Verwenden Sie die folgende Syntax:

          arn:partition:iam::account:role/role-name

          Zum Beispiel:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          Anmerkung

          Um den eindeutigen ARN für eine IAM-Rolle abzurufen, zeigen Sie die Rollenliste in der IAM-Konsole an, verwenden Sie den AWS CLI Befehl get-role oder die GetRoleAPI-Aktion.

        • IAM-Benutzer — Um einen IAM-Benutzer hinzuzufügen, geben Sie den ARN des Benutzers ein. Verwenden Sie die folgende Syntax:

          arn:partition:iam::account:user/user-name

          Zum Beispiel:

          arn:aws:iam::123456789012:user/bob

          Anmerkung

          Um den eindeutigen ARN für einen IAM-Benutzer zu erhalten, zeigen Sie die Benutzerliste in der IAM-Konsole an. Verwenden Sie den get-user AWS CLI Befehl oder GetUserAPI-Aktion.

      • Service Principal — Um einen Service Principal hinzuzufügen, wählen Sie Service Principal aus der Dropbox Select Principal Type aus. Geben Sie den Namen des AWS Dienstprinzipals ein. Verwenden Sie die folgende Syntax:

        • service-id.amazonaws.com

          Zum Beispiel:

          pca-connector-ad.amazonaws.com

    3. Stellen Sie unter Ausgewählte Prinzipale sicher, dass die von Ihnen angegebenen Prinzipale in der Liste angezeigt werden.

  9. Wählen Sie Weiter.

  10. Überprüfen Sie in Schritt 4: Überprüfen und erstellen die Konfigurationsdetails für Ihre Ressourcenfreigabe. Um die Konfiguration für einen beliebigen Schritt zu ändern, wählen Sie den Link, der dem Schritt entspricht, zu dem Sie zurückkehren möchten, und nehmen Sie die erforderlichen Änderungen vor.

  11. Nachdem Sie die Überprüfung der Ressourcenfreigabe abgeschlossen haben, wählen Sie Ressourcenfreigabe erstellen aus.

    Es kann einige Minuten dauern, bis die Ressourcen- und Prinzipal-Zuordnungen abgeschlossen ist. Warten Sie, bis dieser Vorgang abgeschlossen ist, bevor Sie versuchen, die Ressourcenfreigabe zu verwenden.

  12. Sie können jederzeit Ressourcen und Principals hinzufügen und entfernen oder benutzerdefinierte Tags auf Ihre Resource Share anwenden. Sie können die verwalteten Berechtigungen für Ressourcentypen ändern, die in Ihrer Ressourcenfreigabe enthalten sind, und zwar für die Typen, die mehr als die standardmäßige verwaltete Berechtigung unterstützen. Sie können Ihre Ressourcenfreigabe löschen, wenn Sie die Ressourcen nicht mehr gemeinsam nutzen möchten. Weitere Informationen finden Sie unter Teilen Sie AWS Ressourcen, die Ihnen gehören.

AWS CLI
Um eine gemeinsame Nutzung einer Ressource zu erstellen

Verwenden der create-resource-shareBefehl. Der folgende Befehl erstellt eine Ressourcenfreigabe, die von allen Mitarbeitern der AWS-Konten Organisation gemeinsam genutzt wird. Die gemeinsame Nutzung enthält eine AWS License Manager Lizenzkonfiguration und gewährt die standardmäßigen verwalteten Berechtigungen für diesen Ressourcentyp.

Anmerkung

Wenn Sie eine vom Kunden verwaltete Berechtigung mit einem Ressourcentyp in dieser Ressourcenfreigabe verwenden möchten, können Sie entweder eine vorhandene vom Kunden verwaltete Berechtigung verwenden oder eine neue vom Kunden verwaltete Berechtigung erstellen. Notieren Sie sich den ARN für die vom Kunden verwaltete Berechtigung und erstellen Sie dann die Ressourcenfreigabe. Weitere Informationen finden Sie unter Erstellen Sie eine vom Kunden verwaltete Berechtigung.

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}