Aktualisieren Sie einen Ressourcenanteil inAWS RAM - AWS Resource Access Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aktualisieren Sie einen Ressourcenanteil inAWS RAM

Sie können eine RessourcenfreigabeAWS RAM jederzeit auf folgende Weise aktualisieren:

  • Sie können einer von Ihnen erstellten Ressourcenfreigabe Principale, Ressourcen oder Tags hinzufügen.

  • Für Ressourcentypen, die mehr als die standardmäßigeAWS verwaltete Berechtigung unterstützen, können Sie wählen, welche verwaltete Berechtigung für Ressourcen jedes Typs gilt.

  • Wenn eine verwaltete Berechtigung, die an die Ressourcennutzung angehängt ist, eine neue Standardversion hat, können Sie die verwaltete Berechtigung aktualisieren, um die neue Version zu verwenden.

  • Sie können den Zugriff auf gemeinsam genutzte Ressourcen widerrufen, indem Sie Prinzipale oder Ressourcen aus einer Ressourcenfreigabe entfernen. Wenn Sie den Zugriff widerrufen, haben die Prinzipale keinen Zugriff mehr auf die gemeinsam genutzten Ressourcen.

Anmerkung

Prinzipale, mit denen Sie Ressourcen teilen, können Ihren Ressourcenanteil verlassen, wenn der Share leer ist oder nur Ressourcentypen enthält, die das Verlassen einer Ressourcenbeteiligung unterstützen. Wenn die Ressourcenfreigabe Ressourcentypen enthält, die das Verlassen der Ressource nicht unterstützen, erscheint eine Meldung, in der die Schulleiter darüber informiert werden, dass sie den Eigentümer der Ressource kontaktieren müssen. In diesem Fall müssen Sie als Eigentümer des Resource Share die Principale aus Ihrem Resource Share entfernen. Eine Liste der Ressourcentypen, die diese Aktion nicht unterstützen, finden Sie unterVoraussetzungen für das Verlassen einer Ressourcenfreigabe.

Console
Um einer Ressourcenfreigabe

  1. Navigiere in derAWS RAM Konsole zur Seite Von mir geteilt: Resource Shares.

  2. DaAWS RAM Ressourcenfreigabe in der rechten oberen Ecke der Konsole verfügbar istAWS-Regionen, wählen Sie die entsprechendeAWS-Region aus der Drop-down-Liste in der rechten oberen Ecke der Konsole. Um Ressourcenfreigabe zu sehen, müssen Sie dieAWS-Region auf USA Ost (Nord-Virginia) setzen, (us-east-1). Weitere Informationen zur freigabe globalen Ressourcen finden Sie unterGemeinsame Nutzung regionaler Ressourcen im Vergleich zu globalen Ressourcen.

  3. Wählen Sie den Ressourcenanteil aus und klicken Sie dann auf Ändern.

  4. Schritt 1: Geben Sie die Details zur Ressourcennutzung an, überprüfen Sie die Details zur Ressourcennutzung und aktualisieren Sie bei Bedarf eines der folgenden Elemente:

    1. (Optional) Sie ändern den Namen der Ressourcenfreigabe.

    2. (Optional) Um eine Ressource zur Ressourcenfreigabe hinzuzufügen, wählen Sie unter Ressourcen den Ressourcentyp aus und aktivieren Sie dann das Kontrollkästchen neben der Ressource, um sie der Ressourcenfreigabe hinzuzufügen. Globale Ressourcen werden nur angezeigt, wenn Sie die Region auf USA Ost (Nord-Virginia), (us-east-1) setzenAWS Management Console.

    3. (Optional) Um eine Ressource aus der Ressourcenfreigabe zu entfernen, suchen Sie die Ressource unter Ausgewählte Ressourcen und wählen Sie dann das X neben der Ressourcen-ID aus.

    4. (Optional) Sie fügen einem Ressourcenfreigabe ein Tag hinzu, indem Sie Neuen Tag-Schlüssel und -Wert eingeben. Um mehr als ein Tag-Schlüssel- und Wertepaar hinzuzufügen, wählen Sie Neues Tag hinzufügen. Sie können bis zu 50 Tags hinzufügen.

    5. Um ein Tag aus der Ressourcenfreigabe zu entfernen, suchen Sie unter Tags nach dem Tag und wählen Sie neben dem Tag die Option Entfernen aus.

  5. Wählen Sie Next (Weiter).

  6. (Optional) In Schritt 2: Ordnen Sie jedem Ressourcentyp eine verwaltete Berechtigung zu, können Sie wählen, ob SieAWS dem Ressourcentyp eine verwaltete Berechtigung zuordnen möchten, eine vorhandene vom Kunden verwaltete Berechtigung auswählen oder Ihre eigene vom Kunden verwaltete Berechtigung erstellen möchten. Weitere Informationen finden Sie unter Arten von verwalteten Berechtigungen.

    Sie können auch „Vom Kunden verwaltete Berechtigung erstellen“ wählen, um eine vom Kunden verwaltete Berechtigung zu erstellen, die den Anforderungen Ihres Anwendungsfalls zum Teilen entspricht. Weitere Informationen finden Sie unter Eine vom Kunden verwaltete Berechtigung erstellen. Nachdem Sie den Vorgang abgeschlossen haben Refresh icon , wählen Sie, und dann können Sie Ihre neue verwaltete Kundenberechtigung aus der Dropdown-Liste Verwaltete Berechtigungen auswählen.

    Um die Aktionen anzuzeigen, die die verwaltete Berechtigung zulässt, erweitern Sie die Option Richtlinienvorlage für diese verwaltete Berechtigung anzeigen.

  7. Wenn die Version der verwalteten Berechtigung, die derzeit der Ressourcennutzung zugewiesen ist, nicht die aktuelle Standardversion ist, können Sie auf die Standardversion aktualisieren, indem Sie Auf Standardversion aktualisieren klicken.

    Anmerkung

    Bis Sie Ihre Änderungen am Resource Share nach dem letzten Schritt speichern, können Sie das Versionsupdate abbrechen, indem Sie Zurück zur vorherigen Version wählen. BeiAWS verwalteten Berechtigungen ist die Änderung jedoch nach dem Speichern der Ressourcenfreigabe endgültig und Sie können nicht mehr zur vorherigen Version zurückkehren.

  8. Wählen Sie Next (Weiter).

  9. In Schritt 3: Wählen Sie die Hauptbenutzer aus, die Zugriff haben, überprüfen Sie die ausgewählten Hauptbenutzer und aktualisieren Sie bei Bedarf eines der folgenden Elemente:

    1. (Optional) Um zu ändern, wählen Sie eine der folgenden Optionen, indem Sie eine der folgenden Optionen auswählen:

      • Um Ressourcen mitAWS-Konten oder einzelnen IAM-Rollen oder Benutzern außerhalb Ihrer Organisation zu teilen, wählen Sie Freigabe für externe Prinzipale zulassen aus.

      • Um die gemeinsame Nutzung von Ressourcen nur auf Hauptpersonen in Ihrer Organisation zu beschränkenAWS Organizations, wählen Sie Nur gemeinsame Nutzung für Hauptpersonen in Ihrer Organisation zulassen aus.

    2. Gehen Sie für Principals wie folgt vor:

      • (Optional) Um eine Organisation, Organisationseinheit (OU) oder ein MitgliedAWS-Konto innerhalb Ihrer Organisation hinzuzufügen, aktivieren Sie die Option Organisationsstruktur anzeigen, um eine Strukturansicht Ihrer Organisation anzuzeigen. Markieren Sie dann das Kontrollkästchen neben jedem Principal, den Sie hinzufügen möchten.

        Wichtig

        Wenn Sie eine gemeinsame Nutzung mit einer Organisation oder Organisationseinheit durchführen und dieser Geltungsbereich das Konto umfasst, das die Ressourcenfreigabe besitzt, erhalten alle Hauptpersonen im gemeinsamen Konto automatisch Zugriff auf die Ressourcen in der Freigabe. Der gewährte Zugriff wird durch die verwalteten Berechtigungen definiert, die dem Share zugeordnet sind. Dies liegt daran, dass die ressourcenbasierte Richtlinie,AWS RAM die an jede Ressource in der Aktie gebunden ist, verwendet"Principal": "*". Weitere Informationen finden Sie unter Auswirkungen der Verwendung"Principal": "*"in einer ressourcenbasierten Politik.

        Die Principals der anderen Verbraucherkonten erhalten nicht sofort Zugriff auf die Ressourcen der Aktie. Die Administratoren der anderen Konten müssen zunächst identitätsbasierte Berechtigungsrichtlinien an die entsprechenden Prinzipale anhängen. Diese Richtlinien müssen denAllow Zugriff auf die ARNs einzelner Ressourcen im Resource Share gewähren. Die Berechtigungen in diesen Richtlinien dürfen die in der verwalteten Berechtigung, die der Ressourcennutzung zugeordnet ist, angegebenen Berechtigungen nicht überschreiten.

        Anmerkung

        Der Schalter „Organisationsstruktur anzeigen“ wird nur angezeigt, wenn das Teilen mit aktiviertAWS Organizations ist und Sie als Principal im Verwaltungskonto der Organisation angemeldet sind.

        Sie können diese Methode nicht verwenden, um eine Rolle oder einen BenutzerAWS-Konto außerhalb Ihrer Organisation oder einer IAM-Rolle oder eines Benutzers anzugeben. Stattdessen müssen Sie diese Hauptpersonen hinzufügen, indem Sie ihre Identifikatoren eingeben. Diese werden im Textfeld unter dem Schalter Organisationsstruktur anzeigen angezeigt. Siehe den nächsten Aufzählungspunkt.

      • (Optional) Um einen Principal anhand seiner ID hinzuzufügen, wählen Sie den Prinziptyp aus der Dropdownliste aus und geben Sie dann die ID oder den ARN für den Principal ein. Wählen Sie abschließend Hinzufügen.

        Wenn Sie eine Person auswählenAWS-Konto, kann nur dieses Konto auf die Ressourcenfreigabe zugreifen. Sie können eine der folgenden Optionen auswählen.

        • Ein andererAWS-Konto (außer dem Ressourcenbesitzer) — Macht die Ressource für das andere Konto verfügbar. Der Administrator dieses Kontos muss den Vorgang abschließen, indem er einzelnen Rollen und Benutzern mithilfe identitätsbasierter Berechtigungsrichtlinien Zugriff auf die gemeinsam genutzte Ressource gewährt. Diese Berechtigungen dürfen die in den verwalteten Berechtigungen, die der Ressourcennutzung zugeordnet sind, definierten Berechtigungen nicht überschreiten.

        • DiesAWS-Konto (Ressourcenbesitzer) — Alle Rollen und Benutzer im Konto, dem die Ressource gehört, erhalten automatisch den Zugriff, der durch die verwalteten Berechtigungen definiert ist, die der Ressourcenfreigabe zugeordnet sind.

      • Der Zusatz wird sofort in der Liste Ausgewählte Hauptbenutzer angezeigt.

        Sie können dann weitere Konten, Organisationseinheiten oder Ihre Organisation hinzufügen, indem Sie diesen Schritt wiederholen.

      • (Optional) Um einen Hauptbenutzer zu entfernen, suchen Sie ihn unter Ausgewählte Hauptbenutzer, aktivieren Sie das entsprechende Kontrollkästchen, und wählen Sie dann Auswahl aufheben.

  10. Wählen Sie Next (Weiter).

  11. Überprüfen Sie in Schritt 4: Überprüfen und Aktualisieren die Konfigurationsdetails für Ihren Resource Share.

  12. Um die Konfiguration für einen beliebigen Schritt zu ändern, wählen Sie den Link, der dem Schritt entspricht, zu dem Sie zurückkehren möchten, und nehmen Sie dann die erforderlichen Änderungen vor.

    Wenn verwaltete Berechtigungen immer noch andere Versionen als die Standardversion verwenden, haben Sie eine weitere Möglichkeit, dies zu beheben, indem Sie Auf Standardversion aktualisieren klicken.

  13. Wählen Sie Add (Ressourcenfreigabe), wenn Sie mit den Änderungen fertig sind.

AWS CLI
Um einer Ressourcenfreigabe

Sie können die folgendenAWS CLI -Befehle verwenden, um eine Ressourcenfreigabe zu ändern:

  • Verwenden Sie den Befehl, um eine Ressourcenfreigabe umzubenennen oder zu ändern, ob externe Prinzipale zulässig sind update-resource-share. Das folgende Beispiel benennt die angegebene Ressourcenfreigabe um und legt sie so fest, dass nur Hauptpersonen aus ihrer Organisation zugelassen sind. Sie müssen den Dienstendpunkt für den verwendenAWS-Region, der die Ressourcenfreigabe enthält. 

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • Verwenden Sie den Befehl, um einer Resource Share eine Ressource hinzuzufügen associate-resource-share. Im folgenden Beispiel wird der angegebenen Ressourcenfreigabe ein Subnetz hinzugefügt.

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • Verwenden Sie die Befehle und, um eine verwaltete Berechtigung für einen Ressourcentyp in einer Ressourcenfreigabe hinzuzufügen oder list-permissionszu ersetzen associate-resource-share-permission. In einer Ressourcenfreigabe können Sie pro Ressourcentyp nur eine verwaltete Berechtigung zuweisen. Wenn Sie versuchen, einem Ressourcentyp, der bereits über eine verwaltete Berechtigung verfügt, eine verwaltete Berechtigung hinzuzufügen, müssen Sie die--replace Option einschließen, andernfalls schlägt der Befehl mit einer Fehlermeldung fehl.

    Der folgende Beispielbefehl listet die ARNs für die verwalteten Berechtigungen auf, die für ein Amazon Elastic Compute Cloud (Amazon EC2) -Subnetz verfügbar sind, und verwendet dann einen dieser ARNs, um die aktuell zugewieseneAWS verwaltete Berechtigung für diesen Ressourcentyp in der angegebenen Ressourcenfreigabe zu ersetzen. 

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • Verwenden Sie den Befehl, um eine Ressource aus einer Resource Share zu entfernen disassociate-resource-share. Das folgende Beispiel entfernt das Amazon EC2-Subnetz mit dem angegebenen ARN aus der angegebenen Ressourcenfreigabe.

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • Verwenden Sie die Befehle tag-resourceund, um die an eine Ressourcenfreigabe angehängten Tags zu ändern untag-resource. Im folgenden Beispiel wird das Tag hinzuproject=lima, indem Sie die Ressourcenfreigabe verwenden.

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    Im folgenden Beispiel wird das Tag mit dem Schlüssel vonproject aus der angegebenen Ressourcenfreigabe entfernt.

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    Die Tagging--Befehle erzeugen keine Ausgabe, wenn sie erfolgreich sind.