Teilen Sie Ihre VPC Lattice-Entitäten

Voraussetzungen Entitäten teilen Hören Sie auf, Entitäten gemeinsam Zuständigkeiten und Genehmigungen Kontoübergreifende Ereignisse

Amazon VPC Lattice ist in AWS Resource Access Manager (AWS RAM) integriert, um die gemeinsame Nutzung von Services, Ressourcenkonfigurationen und Servicenetzwerken zu ermöglichen. AWS RAM ist ein Service, der es Ihnen ermöglicht, einige VPC Lattice-Entitäten mit anderen AWS-Konten oder über andere zu teilen. AWS Organizations Mit können Sie Entitäten AWS RAM, die Ihnen gehören, gemeinsam nutzen, indem Sie eine Ressourcenfreigabe erstellen. Eine Ressourcenfreigabe gibt die Entitäten an, die gemeinsam genutzt werden sollen, und die Verbraucher, mit denen sie geteilt werden sollen. Zu den Verbrauchern können gehören:

AWS-Konten Spezifisch innerhalb oder außerhalb seiner Organisation in AWS Organizations.
Eine Organisationseinheit innerhalb seiner Organisation in AWS Organizations.
Eine ganze Organisation in AWS Organizations.

Weitere Informationen zu AWS RAM finden Sie im AWS RAM Benutzerhandbuch.

Um eine Entität gemeinsam zu nutzen, müssen Sie sie in Ihrem AWS-Konto besitzen. Das bedeutet, dass die Entität Ihrem Konto zugewiesen oder bereitgestellt werden muss. Sie können eine Entität, die mit Ihnen geteilt wurde, nicht teilen.
Um eine Entität mit Ihrer Organisation oder einer Organisationseinheit in zu teilen AWS Organizations, müssen Sie das Teilen mit aktivieren AWS Organizations. Weitere Informationen finden Sie unter Aktivieren der gemeinsamen Nutzung von Ressourcen AWS Organizations im AWS RAM Benutzerhandbuch.

Um eine Entität gemeinsam zu nutzen, erstellen Sie zunächst eine Ressourcenfreigabe mit AWS Resource Access Manager. Eine Ressourcenfreigabe gibt an, welche Entitäten gemeinsam genutzt werden sollen, mit welchen Verbrauchern sie geteilt werden und welche Aktionen Principals ausführen können.

Wenn Sie eine VPC Lattice-Entität, die Sie besitzen, mit anderen teilen AWS-Konten, ermöglichen Sie diesen Konten, ihre Entitäten mit Entitäten in Ihrem Konto zu verknüpfen. Wenn Sie eine Zuordnung für eine gemeinsame Entität erstellen, generieren wir einen Amazon-Ressourcennamen (ARN) im Konto des Entitätsinhabers und in dem Konto, das die Verknüpfung erstellt hat. Daher können sowohl der Eigentümer der Entität als auch das Konto, das die Zuordnung erstellt hat, die Zuordnung löschen.

Wenn Sie Teil einer Organisation sind AWS Organizations und das Teilen innerhalb Ihrer Organisation aktiviert ist, erhalten Verbraucher in Ihrer Organisation automatisch Zugriff auf die gemeinsam genutzte Entität. Andernfalls erhalten Verbraucher eine Einladung, dem Resource Share beizutreten, und erhalten nach Annahme der Einladung Zugriff auf die gemeinsame Entität.

Überlegungen

Sie können drei Arten von VPC Lattice-Entitäten gemeinsam nutzen: Servicenetzwerke, Dienste und Ressourcenkonfigurationen.
Sie können Ihre VPC Lattice-Entitäten mit allen teilen. AWS-Konto
Sie können Ihre VPC Lattice-Entitäten nicht mit einzelnen IAM Benutzern und Rollen teilen.
VPCLattice unterstützt vom Kunden verwaltete Berechtigungen für Dienste, Ressourcenkonfigurationen und Servicenetzwerke.

Um eine Entität, die Ihnen gehört, mithilfe der VPC Lattice-Konsole zu teilen

Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich unter VPCLattice Services, Service Networks oder Resource Configurations aus.
Wählen Sie den Namen der Entität aus, um deren Detailseite zu öffnen, und wählen Sie dann auf der Registerkarte Sharing Service, Share service network oder Share resource configuration aus.
Wählen Sie die AWS RAM Ressourcenfreigaben unter Ressourcenfreigaben aus. Um eine Ressourcenfreigabe zu erstellen, wählen Sie in der RAM Konsole die Option Ressourcenfreigabe erstellen aus.
Wählen Sie „Dienst teilen“, „Dienstnetzwerk teilen“ oder „Ressourcenkonfiguration teilen“.

Um eine Entität, die Ihnen gehört, mithilfe der AWS RAM Konsole zu teilen

Verwenden Sie das unter Erstellen einer Ressourcenfreigabe im AWS RAM Benutzerhandbuch beschriebene Verfahren.

Um eine Entität, die Ihnen gehört, zu teilen, verwenden Sie den AWS CLI

Verwenden Sie den associate-resource-share-Befehl.

Um die gemeinsame Nutzung einer VPC Lattice-Entität, deren Eigentümer Sie sind, zu beenden, müssen Sie sie aus der Ressourcenfreigabe entfernen. Bestehende Verknüpfungen bleiben bestehen, nachdem Sie die gemeinsame Nutzung Ihrer Entität beendet haben. Neue Verknüpfungen zu einer zuvor gemeinsam genutzten Entität sind nicht zulässig. Wenn entweder der Entitätsbesitzer oder der Zuordnungsbesitzer eine Verknüpfung löscht, wird sie aus beiden Konten gelöscht. Wenn ein Kontoinhaber eine Ressourcenfreigabe verlassen möchte, muss er den Eigentümer der Ressourcenfreigabe bitten, sein Konto aus der Liste der Konten zu entfernen, mit denen diese Ressource geteilt wurde.

Um die gemeinsame Nutzung einer Entität, die Ihnen gehört, mithilfe der VPC Lattice-Konsole zu beenden

Öffnen Sie die VPC Amazon-Konsole unter https://console.aws.amazon.com/vpc/.
Wählen Sie im Navigationsbereich unter VPCLattice Services, Service Networks oder Resource Configurations aus.
Wählen Sie den Namen der Entität aus, um ihre Detailseite zu öffnen.
Aktivieren Sie auf der Registerkarte Freigabe das Kontrollkästchen für die Ressourcenfreigabe und wählen Sie dann Entfernen aus.

Um die gemeinsame Nutzung einer Entität, deren Eigentümer Sie sind, über die AWS RAM Konsole zu beenden

Weitere Informationen finden Sie unter Aktualisieren einer Ressourcenfreigabe im AWS RAM Benutzerhandbuch.

Um die gemeinsame Nutzung einer Entität, deren Eigentümer Sie sind, zu beenden, verwenden Sie AWS CLI

Verwenden Sie den disassociate-resource-share-Befehl.

Die folgenden Verantwortlichkeiten und Berechtigungen gelten für die Verwendung gemeinsam genutzter VPC Lattice-Entitäten.

Eigentümer von Entitäten

Der Besitzer des Servicenetzwerks kann einen von einem Verbraucher erstellten Dienst nicht ändern.
Der Besitzer des Dienstnetzwerks kann einen von einem Verbraucher erstellten Dienst nicht löschen.
Der Besitzer des Servicenetzwerks kann alle Dienstzuordnungen für das Servicenetzwerk beschreiben.
Der Besitzer des Servicenetzwerks kann jeden Dienst, der dem Servicenetzwerk zugeordnet ist, trennen, unabhängig davon, wer die Zuordnung erstellt hat.
Der Besitzer des Servicenetzwerks kann alle VPC Zuordnungen für das Servicenetzwerk beschreiben.
Der Eigentümer des Servicenetzes kann jeden Benutzer trennenVPC, der dem Servicenetzwerk zugeordnet ist.
Der Besitzer des Servicenetzwerks kann alle Zuordnungen der Ressourcenkonfiguration für das Dienstnetzwerk beschreiben.
Der Besitzer des Dienstnetzwerks kann die Zuordnung zu jeder Ressourcenkonfiguration aufheben, die dem Dienstnetzwerk zugeordnet ist, unabhängig davon, wer die Zuordnung erstellt hat.
Der Besitzer des Servicenetzwerks kann alle Endpunktzuordnungen für das Dienstnetzwerk beschreiben.
Der Besitzer des Servicenetzwerks kann die Zuordnung aller Endpunkte, die dem Servicenetzwerk zugeordnet sind, aufheben, unabhängig davon, wer die Zuordnung erstellt hat.
Der Dienstbesitzer kann alle Dienstnetzwerkzuordnungen mit dem Dienst beschreiben.
Der Dienstbesitzer kann einen Dienst von jedem Dienstnetzwerk trennen, dem er zugeordnet ist.
Der Besitzer der Ressourcenkonfiguration kann alle Netzwerkzuordnungen mit der Ressourcenkonfiguration beschreiben.
Der Besitzer der Ressourcenkonfiguration kann eine Ressourcenkonfiguration von jedem Dienstnetzwerk trennen, dem sie zugeordnet ist.
Der Besitzer des VPC Endpunkts kann das Dienstnetzwerk beschreiben, dem er zugeordnet ist.
Der VPC Endpunkteigentümer kann einen Endpunkt vom Servicenetzwerk trennen.
Nur das Konto, mit dem eine Zuordnung erstellt wurde, kann die Zuordnung zwischen dem Dienstnetzwerk und dem aktualisieren. VPC

Verbraucher von Entitäten

Der Verbraucher kann eine Service- oder Ressourcenkonfiguration, die er nicht erstellt hat, nicht löschen.
Der Verbraucher kann nur die Dienste oder Ressourcenkonfigurationen trennen, die er einem Dienstnetzwerk zugeordnet hat.
Der Verbraucher und der Netzwerkbesitzer können alle Verknüpfungen zwischen einem Dienstnetzwerk und einer Dienst- oder Ressourcenkonfiguration beschreiben.
Der Verbraucher kann keine Dienstinformationen eines Dienstes oder Informationen zur Ressourcenkonfiguration einer Ressourcenkonfiguration abrufen, die ihm nicht gehört.
Der Verbraucher kann alle Dienstzuordnungen und Ressourcenkonfigurationen beschreiben, die mit einem gemeinsamen Servicenetzwerk verknüpft sind.
Der Verbraucher kann einen Dienst oder eine Ressourcenkonfiguration einem Shared-Servicenetzwerk zuordnen.
Der Verbraucher kann alle VPC Verbindungen zu einem Shared-Servicenetzwerk sehen.
Der Verbraucher kann ein Netzwerk VPC mit einem Shared Service Network verknüpfen.
Der Verbraucher kann nur die Verbindung trennenVPCs, die er einem Servicenetzwerk zugeordnet hat.
Der Verbraucher kann einen VPC Servicenetzwerk-Endpunkt einrichten, um ihn mit einem gemeinsamen Servicenetzwerk VPC zu verbinden.
Der Verbraucher kann nur den VPC Servicenetzwerk-Endpunkt löschen, den er für die Verbindung mit einem gemeinsamen Servicenetzwerk erstellt hat. VPC
Der Nutzer eines gemeinsamen Dienstes kann einen Dienst nicht einem Servicenetzwerk zuordnen, das ihm nicht gehört.
Der Nutzer eines Shared-Servicenetzwerks kann keinen Dienst VPC oder Service zuordnen, der ihm nicht gehört.
Der Nutzer einer Konfiguration mit gemeinsam genutzten Ressourcen kann eine Ressourcenkonfiguration nicht einem Servicenetzwerk zuordnen, das ihm nicht gehört.
Der Nutzer eines Netzwerks mit gemeinsam genutzten Diensten kann keine Dienst VPC - oder Ressourcenkonfiguration zuordnen, die ihm nicht gehört.
Der Verbraucher kann eine Service-, Service-, Netzwerk- oder Ressourcenkonfiguration beschreiben, die mit ihm gemeinsam genutzt wird.
Der Verbraucher kann zwei Entitäten nicht zuordnen, wenn beide mit ihm gemeinsam genutzt werden.

Kontoübergreifende Ereignisse

Wenn Eigentümer und Verbraucher von Entitäten Aktionen an einer gemeinsamen Entität ausführen, werden diese Aktionen als kontoübergreifende Ereignisse in AWS CloudTrail aufgezeichnet.

CreateServiceNetworkResourceAssociationBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Nutzer der Entität CreateServiceNetworkResourceAssociation mit einer gemeinsam genutzten Entität anruft. Wenn der Anrufer Eigentümer der Ressourcenkonfiguration ist, wird das Ereignis an den Besitzer des Dienstnetzwerks gesendet. Wenn der Anrufer Eigentümer des Dienstnetzwerks ist, wird das Ereignis an den Besitzer der Ressourcenkonfiguration gesendet.

CreateServiceNetworkServiceAssociationBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Entitätsnutzer CreateServiceNetworkServiceAssociationmit einer gemeinsam genutzten Entität anruft. Wenn der Dienst dem Anrufer gehört, wird das Ereignis an den Besitzer des Dienstnetzwerks gesendet. Wenn der Anrufer Eigentümer des Dienstnetzwerks ist, wird das Ereignis an den Eigentümer des Dienstes gesendet.
CreateServiceNetworkVpcAssociationBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Nutzer der Entität CreateServiceNetworkVpcAssociationüber ein Shared Service Network anruft.
DeleteServiceNetworkResourceAssociationByOwner: Wird an den Eigentümer der Assoziation gesendet, wenn der Eigentümer der Entität DeleteServiceNetworkResourceAssociation mit einer gemeinsam genutzten Entität anruft. Wenn der Anrufer Eigentümer der Ressourcenkonfiguration ist, wird das Ereignis an den Besitzer der Dienstnetzwerkzuordnung gesendet. Wenn der Anrufer Eigentümer des Dienstnetzwerks ist, wird das Ereignis an den Besitzer der Ressourcenzuordnung gesendet.
DeleteServiceNetworkResourceAssociationBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Entitätsnutzer DeleteServiceNetworkResourceAssociation mit einer gemeinsam genutzten Entität anruft. Wenn der Anrufer Eigentümer der Ressourcenkonfiguration ist, wird das Ereignis an den Besitzer des Dienstnetzwerks gesendet. Wenn der Anrufer Eigentümer des Dienstnetzwerks ist, wird das Ereignis an den Besitzer der Ressourcenkonfiguration gesendet.
DeleteServiceNetworkServiceAssociationByOwner: Wird an den Eigentümer der Assoziation gesendet, wenn der Eigentümer der Entität DeleteServiceNetworkServiceAssociationmit einer gemeinsam genutzten Entität anruft. Wenn der Dienst dem Anrufer gehört, wird das Ereignis an den Besitzer der Dienstnetzwerkverbindung gesendet. Wenn der Anrufer Eigentümer des Dienstnetzwerks ist, wird das Ereignis an den Eigentümer der Dienstverbindung gesendet.
DeleteServiceNetworkServiceAssociationBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Benutzer der Entität DeleteServiceNetworkServiceAssociationmit einer gemeinsam genutzten Entität anruft. Wenn der Dienst dem Anrufer gehört, wird das Ereignis an den Besitzer des Dienstnetzwerks gesendet. Wenn der Anrufer Eigentümer des Dienstnetzwerks ist, wird das Ereignis an den Eigentümer des Dienstes gesendet.
DeleteServiceNetworkVpcAssociationByOwner: Wird an den Eigentümer der Assoziation gesendet, wenn der Eigentümer der Entität über ein gemeinsames Servicenetzwerk anruft DeleteServiceNetworkVpcAssociation.
DeleteServiceNetworkVpcAssociationBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Nutzer der Entität DeleteServiceNetworkVpcAssociationüber ein Shared-Service-Netzwerk anruft.
GetServiceBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Nutzer der Entität über einen GetServicegemeinsam genutzten Dienst anruft.
GetServiceNetworkBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Nutzer der Entität GetServiceNetworküber ein Shared Service-Netzwerk anruft.
GetServiceNetworkResourceAssociationBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Entitätsverbraucher GetServiceNetworkResourceAssociation mit einer gemeinsam genutzten Entität anruft. Wenn der Anrufer Eigentümer der Ressourcenkonfiguration ist, wird das Ereignis an den Besitzer des Dienstnetzwerks gesendet. Wenn der Anrufer Eigentümer des Dienstnetzwerks ist, wird das Ereignis an den Besitzer der Ressourcenkonfiguration gesendet.
GetServiceNetworkServiceAssociationBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Entitätsnutzer GetServiceNetworkServiceAssociationmit einer gemeinsam genutzten Entität anruft. Wenn der Dienst dem Anrufer gehört, wird das Ereignis an den Besitzer des Dienstnetzwerks gesendet. Wenn der Anrufer Eigentümer des Dienstnetzwerks ist, wird das Ereignis an den Eigentümer des Dienstes gesendet.
GetServiceNetworkVpcAssociationBySharee: Wird an den Eigentümer der Entität gesendet, wenn ein Nutzer der Entität GetServiceNetworkVpcAssociationüber ein Shared Service Network anruft.

Im Folgenden finden Sie ein Beispiel für einen Eintrag für das CreateServiceNetworkServiceAssociationBySharee Ereignis.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-04-27T17:12:46Z",
    "eventSource": "vpc-lattice.amazonaws.com",
    "eventName": "CreateServiceNetworkServiceAssociationBySharee",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "vpc-lattice.amazonaws.com",
    "userAgent": "ec2.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "callerAccountId": "111122223333"
    },
    "requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
    "eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
            "ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verknüpfungen verwalten

Sicherheit