Aktualisieren Sie eine Ressourcenfreigabe in AWS RAM - AWS Resource Access Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktualisieren Sie eine Ressourcenfreigabe in AWS RAM

Sie können eine Ressourcenfreigabe AWS RAM jederzeit auf folgende Weise aktualisieren:

  • Sie können einer von Ihnen erstellten Ressourcenfreigabe Prinzipale, Ressourcen oder Tags hinzufügen.

  • Bei Ressourcentypen, die mehr als die standardmäßigen AWS verwalteten Berechtigungen unterstützen, können Sie auswählen, welche verwaltete Berechtigung für die einzelnen Ressourcen gilt.

  • Wenn eine verwaltete Berechtigung, die mit der Ressourcenfreigabe verknüpft ist, eine neue Standardversion hat, können Sie die verwaltete Berechtigung aktualisieren, sodass sie die neue Version verwendet.

  • Sie können den Zugriff auf gemeinsam genutzte Ressourcen widerrufen, indem Sie Prinzipale oder Ressourcen aus einer Ressourcenfreigabe entfernen. Wenn Sie den Zugriff widerrufen, haben Prinzipale keinen Zugriff mehr auf die gemeinsam genutzten Ressourcen.

Anmerkung

Principals, mit denen Sie Ressourcen gemeinsam nutzen, können Ihre Ressourcenfreigabe verlassen, wenn die Freigabe leer ist oder nur Ressourcentypen enthält, die das Verlassen einer Ressourcenfreigabe unterstützen. Wenn die Ressourcenfreigabe Ressourcentypen enthält, die das Verlassen der Ressource nicht unterstützen, wird eine Meldung angezeigt, in der die Hauptbenutzer darüber informiert werden, dass sie sich an den Eigentümer der gemeinsamen Nutzung wenden müssen. In diesem Fall müssen Sie als Eigentümer der Ressourcenfreigabe die Prinzipale aus Ihrer Ressourcenfreigabe entfernen. Eine Liste der Ressourcentypen, die diese Aktion nicht unterstützen, finden Sie unterVoraussetzungen für das Verlassen einer Ressourcenfreigabe.

Console
So aktualisieren Sie eine Ressourcenfreigabe

  1. Navigieren Sie in der AWS RAM Konsole zur Seite Von mir geteilt: Ressourcenfreigaben.

  2. Da es bestimmte AWS RAM Ressourcenfreigaben gibt AWS-Regionen, wählen Sie die entsprechende Option AWS-Region aus der Dropdownliste in der oberen rechten Ecke der Konsole aus. Um Ressourcenfreigaben zu sehen, die globale Ressourcen enthalten, müssen Sie den Wert AWS-Region auf USA Ost (Nord-Virginia), () setzen. us-east-1 Weitere Informationen zur gemeinsamen Nutzung globaler Ressourcen finden Sie unterGemeinsame Nutzung regionaler Ressourcen im Vergleich zu globalen Ressourcen.

  3. Wählen Sie die gemeinsam genutzte Ressource aus und klicken Sie dann auf Ändern.

  4. Schritt 1: Geben Sie Details zur Ressourcenfreigabe an, überprüfen Sie die Details zur Ressourcenfreigabe und aktualisieren Sie bei Bedarf die folgenden Angaben:

    1. (Optional) Um den Namen der Ressourcenfreigabe zu ändern, bearbeiten Sie Name.

    2. (Optional) Um der Ressourcenfreigabe eine Ressource hinzuzufügen, wählen Sie unter Ressourcen den Ressourcentyp aus und aktivieren Sie dann das Kontrollkästchen neben der Ressource, um sie der Ressourcenfreigabe hinzuzufügen. Globale Ressourcen werden nur angezeigt, wenn Sie in der die Region auf USA Ost (Nord-Virginia), (us-east-1) setzen AWS Management Console.

    3. (Optional) Um eine Ressource aus der Ressourcenfreigabe zu entfernen, suchen Sie die Ressource unter Ausgewählte Ressourcen und wählen Sie dann das X neben der Ressourcen-ID aus.

    4. (Optional) Um der Ressourcenfreigabe ein Tag hinzuzufügen, geben Sie unter Tags einen Tag-Schlüssel und einen Tag-Wert in die leeren Textfelder ein. Um mehr als ein Tag-Schlüssel-Wert-Paar hinzuzufügen, wählen Sie Neues Tag hinzufügen aus. Sie können bis zu 50 Tags hinzufügen.

    5. Um ein Tag aus der Resource Share zu entfernen, suchen Sie unter Tags das Tag und wählen Sie neben dem Tag die Option Entfernen aus.

  5. Wählen Sie Weiter.

  6. (Optional) In Schritt 2: Ordnen Sie jedem Ressourcentyp eine verwaltete Berechtigung zu, können Sie wählen, ob Sie AWS dem Ressourcentyp eine verwaltete Berechtigung zuordnen, eine bestehende vom Kunden verwaltete Berechtigung auswählen oder Ihre eigene vom Kunden verwaltete Berechtigung erstellen möchten. Weitere Informationen finden Sie unter Arten von verwalteten Berechtigungen.

    Sie können auch vom Kunden verwaltete Berechtigung erstellen auswählen, um eine vom Kunden verwaltete Berechtigung zu erstellen, die den Anforderungen Ihres Anwendungsfalls für das Teilen entspricht. Weitere Informationen finden Sie unter Eine vom Kunden verwaltete Berechtigung erstellen. Nachdem Sie den Vorgang abgeschlossen haben Refresh icon , wählen Sie und dann können Sie Ihre neue vom Kunden verwaltete Berechtigung aus der Dropdownliste Verwaltete Berechtigungen auswählen.

    Um die Aktionen anzuzeigen, die die verwaltete Berechtigung zulässt, erweitern Sie die Option Richtlinienvorlage für diese verwaltete Berechtigung anzeigen.

  7. Wenn es sich bei der Version der verwalteten Berechtigung, die derzeit der Ressourcenfreigabe zugewiesen ist, nicht um die aktuelle Standardversion handelt, können Sie auf die Standardversion aktualisieren, indem Sie Auf Standardversion aktualisieren klicken.

    Anmerkung

    Bis Sie Ihre Änderungen an der Ressourcenfreigabe nach dem letzten Schritt gespeichert haben, können Sie das Versionsupdate abbrechen, indem Sie Auf vorherige Version zurücksetzen klicken. Bei AWS verwalteten Berechtigungen ist die Änderung nach dem Speichern der Ressourcenfreigabe jedoch endgültig und Sie können nicht mehr zur vorherigen Version zurückkehren.

  8. Wählen Sie Weiter.

  9. Schritt 3: Wählen Sie die Principals aus, die Zugriff haben, überprüfen Sie die ausgewählten Principals und aktualisieren Sie bei Bedarf eines der folgenden Elemente:

    1. (Optional) Um zu ändern, ob die gemeinsame Nutzung für Prinzipale innerhalb oder außerhalb Ihrer Organisation aktiviert ist, wählen Sie eine der folgenden Optionen:

      • Um Ressourcen mit AWS-Konten oder einzelnen IAM Rollen oder Benutzern außerhalb Ihrer Organisation gemeinsam zu nutzen, wählen Sie Teilen mit externen Prinzipalen zulassen aus.

      • Um die gemeinsame Nutzung von Ressourcen auf Prinzipale in Ihrer Organisation zu beschränken AWS Organizations, wählen Sie Nur gemeinsame Nutzung mit Prinzipalen in Ihrer Organisation zulassen aus.

    2. Gehen Sie für Principals wie folgt vor:

      • (Optional) Um eine Organisation, eine Organisationseinheit (OU) oder ein Mitglied AWS-Konto innerhalb Ihrer Organisation hinzuzufügen, aktivieren Sie die Option Organisationsstruktur anzeigen, um eine Strukturansicht Ihrer Organisation anzuzeigen. Aktivieren Sie dann das Kontrollkästchen neben jedem Prinzipal, den Sie hinzufügen möchten.

        Wichtig

        Wenn Sie Daten für eine Organisation oder eine Organisationseinheit freigeben und dieser Bereich auch das Konto umfasst, dem die Ressourcenfreigabe gehört, erhalten alle Prinzipale im Freigabekonto automatisch Zugriff auf die Ressourcen in der Freigabe. Der gewährte Zugriff wird durch die verwalteten Berechtigungen definiert, die mit der Freigabe verknüpft sind. Dies liegt daran, dass die ressourcenbasierte Richtlinie, die AWS RAM jeder Ressource in der Freigabe zugewiesen ist, verwendet. "Principal": "*" Weitere Informationen finden Sie unter Auswirkungen der Verwendung "Principal": "*" in einer ressourcenbasierten Politik.

        Principals in den anderen Accounts, die diese Nutzung nutzen, erhalten nicht sofort Zugriff auf die Ressourcen der Aktie. Die Administratoren der anderen Konten müssen zunächst identitätsbasierte Berechtigungsrichtlinien an die entsprechenden Principals anhängen. Diese Richtlinien müssen Allow Zugriff auf die einzelnen Ressourcen im ARNs Resource Share gewähren. Die Berechtigungen in diesen Richtlinien dürfen die in der verwalteten Berechtigung für die Ressourcenfreigabe angegebenen Berechtigungen nicht überschreiten.

        Anmerkung

        Die Option Organisationsstruktur anzeigen wird nur angezeigt, wenn das Teilen mit aktiviert AWS Organizations ist und Sie als Hauptbenutzer im Verwaltungskonto der Organisation angemeldet sind.

        Sie können diese Methode nicht verwenden, um eine Person AWS-Konto außerhalb Ihrer Organisation, eine IAM Rolle oder einen Benutzer anzugeben. Stattdessen müssen Sie diese Hauptbenutzer hinzufügen, indem Sie ihre Kennungen eingeben, die im Textfeld unter dem Schalter Organisationsstruktur anzeigen angezeigt werden. Siehe den nächsten Aufzählungspunkt.

      • (Optional) Um einen Prinzipal anhand seiner ID hinzuzufügen, wählen Sie den Prinzipaltyp aus der Dropdownliste aus und geben dann die ID oder ARN für den Prinzipal ein. Wählen Sie abschließend Hinzufügen aus.

        Wenn Sie eine Einzelperson auswählen AWS-Konto, kann nur dieses Konto auf den Resource Share zugreifen. Sie können eine der folgenden Optionen wählen.

        • Andere AWS-Konto (nicht der Besitzer der Ressource) — Macht die Ressource für das andere Konto verfügbar. Der Administrator dieses Kontos muss den Vorgang abschließen, indem er einzelnen Rollen und Benutzern mithilfe identitätsbasierter Berechtigungsrichtlinien Zugriff auf die gemeinsam genutzte Ressource gewährt. Diese Berechtigungen dürfen nicht höher sein als diejenigen, die in den verwalteten Berechtigungen definiert sind, die der Ressourcenfreigabe zugeordnet sind.

        • Dieser AWS-Konto (Ressourcenbesitzer) — Alle Rollen und Benutzer im Konto, dem die Ressource gehört, erhalten automatisch den Zugriff, der durch die verwalteten Berechtigungen definiert ist, die der Ressourcenfreigabe zugeordnet sind.

      • Der Zusatz wird sofort in der Liste Ausgewählte Hauptbenutzer angezeigt.

        Sie können dann weitere Konten oder Ihre Organisation hinzufügenOUs, indem Sie diesen Schritt wiederholen.

      • (Optional) Um einen Hauptbenutzer zu entfernen, suchen Sie ihn unter Ausgewählte Hauptbenutzer, aktivieren Sie das entsprechende Kontrollkästchen und wählen Sie dann Abwählen aus.

  10. Wählen Sie Weiter.

  11. Überprüfen Sie in Schritt 4: Überprüfen und aktualisieren die Konfigurationsdetails für Ihre Ressourcenfreigabe.

  12. Um die Konfiguration für einen beliebigen Schritt zu ändern, wählen Sie den Link, der dem Schritt entspricht, zu dem Sie zurückkehren möchten, und nehmen Sie dann die erforderlichen Änderungen vor.

    Wenn verwaltete Berechtigungen immer noch andere Versionen als die Standardversion verwenden, haben Sie eine weitere Möglichkeit, dies zu beheben, indem Sie Auf Standardversion aktualisieren klicken.

  13. Wählen Sie „Ressourcenfreigabe aktualisieren“, wenn Sie mit den Änderungen fertig sind.

AWS CLI
Um eine Ressourcenfreigabe zu aktualisieren

Sie können die folgenden AWS CLI Befehle verwenden, um eine Ressourcenfreigabe zu ändern:

  • Um eine Ressourcenfreigabe umzubenennen oder um zu ändern, ob externe Principals zulässig sind, verwenden Sie den folgenden Befehl update-resource-share. Das folgende Beispiel benennt die angegebene Ressourcenfreigabe um und legt fest, dass nur Prinzipale aus ihrer Organisation zugelassen werden. Sie müssen den Dienstendpunkt für den verwenden AWS-Region , der die Ressourcenfreigabe enthält. 

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • Verwenden Sie den folgenden Befehl, um einer Ressourcenfreigabe eine Ressource hinzuzufügen associate-resource-share. Das folgende Beispiel fügt der angegebenen Ressourcenfreigabe ein Subnetz hinzu.

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • Verwenden Sie die folgenden Befehle, um eine verwaltete Berechtigung für einen Ressourcentyp in einer Ressourcenfreigabe hinzuzufügen oder zu ersetzen list-permissions und associate-resource-share-permission. Sie können pro Ressourcentyp in einer Ressourcenfreigabe nur eine verwaltete Berechtigung zuweisen. Wenn Sie versuchen, einem Ressourcentyp, der bereits über eine verwaltete Berechtigung verfügt, eine verwaltete Berechtigung hinzuzufügen, müssen Sie die --replace Option angeben, da sonst der Befehl mit einem Fehler fehlschlägt.

    Der folgende Beispielbefehl listet die vier verwalteten Berechtigungen auf, die ARNs für ein Amazon Elastic Compute Cloud (AmazonEC2) -Subnetz verfügbar sind, und verwendet dann eine davon, ARNs um die aktuell zugewiesene AWS verwaltete Berechtigung für diesen Ressourcentyp in der angegebenen Ressourcenfreigabe zu ersetzen. 

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • Verwenden Sie den folgenden Befehl, um eine Ressource aus einer Ressourcenfreigabe zu entfernen disassociate-resource-share. Im folgenden Beispiel wird das EC2 Amazon-Subnetz mit dem angegebenen ARN aus dem angegebenen Ressourcenanteil entfernt.

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • Verwenden Sie die folgenden Befehle, um die an eine Ressourcenfreigabe angehängten Tags zu ändern tag-resource und untag-resource. Im folgenden Beispiel wird das Tag project=lima zur angegebenen Ressourcenfreigabe hinzugefügt.

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    Im folgenden Beispiel wird das Tag mit dem Schlüssel von project aus der angegebenen Ressourcenfreigabe entfernt.

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    Die Tagging-Befehle erzeugen bei Erfolg keine Ausgabe.