# Trabajo con recursos compartidos en CloudFront
<a name="sharing-resources"></a>

Amazon CloudFront se integra con AWS Resource Access Manager (AWS RAM) para permitir el uso compartido de recursos. AWS RAM lo habilita para compartir algunos recursos de CloudFront con otras Cuentas de AWS o a través de AWS Organizations. Con AWS RAM, puede compartir recursos de su propiedad creando un *uso compartido de recursos*. Un uso compartido de recursos especifica los recursos que compartir y los consumidores con quienes compartirlos. Los consumidores pueden incluir lo siguiente:
+ Cuentas de AWS específicas dentro o fuera de su organización en AWS Organizations
+ Una unidad organizativa dentro de la organización en AWS Organizations
+ Toda la organización en AWS Organizations

Para obtener más información sobre AWS RAM, consulte la [Guía del usuario de AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/).

En este tema se explica cómo compartir los recursos que le pertenecen y cómo utilizar los recursos que se comparten con usted. 

**Topics**
+ [Requisitos previos para compartir recursos](#sharing-prereqs)
+ [Uso compartido de un origen de la VPC](#sharing-share)
+ [Uso de un origen de VPC compartido](#using-shared-vpc-origin)
+ [Identificación de un origen de la VPC compartido](#sharing-identify)
+ [Desactivación de un origen de la VPC compartido](#sharing-unshare)
+ [Responsabilidades y permisos de orígenes de la VPC compartidos](#sharing-perms)
+ [Facturación y medición](#sharing-billing)
+ [Cuotas de recursos compartidos](#sharing-quotas)

## Requisitos previos para compartir recursos
<a name="sharing-prereqs"></a>
+ Debe tener la política administrada AWSRAMDefaultPermissionCloudFront para conceder acceso de solo lectura al recurso compartido. Para obtener más información, consulte [AWSRAMDefaultPermissionCloudFront](#aws-ram-default-permission-cloudfront).
+ Para compartir un origen de VPC, debe ser el propietario en la Cuenta de AWS. Esto significa que el recurso debe asignarse o suministrarse en su cuenta. No puede compartir un recurso que le han compartido a usted.
+ Para compartir un recurso con su organización o con una unidad organizativa en AWS Organizations, debe habilitar el uso compartido con AWS Organizations. Para obtener más información, consulte [Habilitar el uso compartido con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) en la *Guía del usuario de AWS RAM*.

## Uso compartido de un origen de la VPC
<a name="sharing-share"></a>

**nota**  
Actualmente, CloudFront admite el uso compartido de orígenes de VPC. Si aún no ha creado uno, consulte [Restricción del acceso con orígenes de la VPC](private-content-vpc-origins.md).

Al compartir un origen de la VPC que posee con otras Cuentas de AWS, las habilita para usar ese recurso como origen de sus distribuciones de CloudFront. 

Para compartir un origen de VPC, debe agregarlo a un recurso compartido. Un recurso compartido es un recurso de AWS RAM que le permite compartir los recursos a través de Cuentas de AWS. 

Un recurso compartido especifica lo siguiente: 
+ Los recursos que desea compartir.
+ Los consumidores con los que se comparten.
+ La política administrada del servicio que determina los permisos a los recursos.

Cuando comparte un origen de VPC con la consola de CloudFront, la agrega a un recurso compartido existente. Si aún no tiene un recurso compartido, puede crear uno al compartir un origen de la VPC desde la consola de CloudFront. También puede usar la [consola de AWS RAM](https://console.aws.amazon.com/ram) o AWS CLI para crear uno de forma independiente.

Puede compartir los orígenes de la VPC con otras Cuentas de AWS y AWS Organizations. 
+ Si comparte el recurso con una organización de AWS, todos los consumidores de esa organización específica pueden acceder al origen de la VPC. 
+ Si comparte el recurso con una organización de Cuenta de AWS de la que no forma parte, los consumidores recibirán una invitación para aceptar el recurso compartido. Una vez aceptado, pueden utilizar el origen de VPC.

Puede compartir un origen de VPC que posea con la consola de CloudFront, la consola de AWS RAM o la AWS CLI.

**Creación de un recurso compartido mediante la consola de CloudFront**

1. Abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. En el panel de navegación, elija **Orígenes de VPC**.

1. Seleccione uno o más recursos y elija **Compartir origen de VPC**.

1. Elija **Crear recurso compartido**.

1. Para **Nombre**, ingrese un nombre descriptivo para el recurso compartido.

1. Para **Tipo de entidad principal**, elija una de las siguientes opciones:
   + **Cuenta de AWS**: conceda acceso a una Cuenta de AWS específica.
   + **Unidad organizativa**: conceda acceso a una unidad organizativa (UO) específica.
   + **Organización**: conceda acceso a toda la organización, incluidas las unidades organizativas secundarias y Cuentas de AWS.

   1. Si elige **Cuenta de AWS**, ingrese el número de ID de la cuenta. Puede elegir **Agregar nueva cuenta** para agregar hasta 5 Cuentas de AWS. 

   1. Si elige **Unidad organizativa**, ingrese el ARN de la unidad OU. Solo puede ingresar una unidad organizativa.

   1. Si ha elegido **Organización**, ingrese el ARN de la organización. Solo puede ingresar una organización.

1. Elija **Compartir recursos**. 

   De forma predeterminada, CloudFront aplica la política administrada [AWSRAMDefaultPermissionCloudFront](#aws-ram-default-permission-cloudfront) AWS al recurso compartido. Esta política permite realizar acciones de solo lectura en el recurso compartido, de modo que las cuentas consumidoras no pueden actualizar ni eliminar el recurso compartido. No puede editar ni eliminar esta política del recurso compartido.
**sugerencia**  
Tras crear el recurso compartido, puede agregar más Cuentas de AWS desde la consola de AWS RAM. Para obtener más información, consulte [Actualizar un recurso compartido en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html?icmpid=docs_cf_help_panel) en la *Guía del usuario de AWS RAM*.

**Cómo compartir un origen de la VPC que posea mediante la consola de CloudFront**

1. Abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. En el panel de navegación, elija **Orígenes de VPC**.

1. Seleccione un recurso y elija **Compartir origen de VPC**.

1. En la página **Compartir origen de VPC**, puede seleccionar un recurso compartido existente al que desee agregar este origen de VPC.

1. Elija **Compartir recurso**. 

   En la página de detalles del recurso, en **Compartido con**, puede ver que el origen de la VPC se comparte con los siguientes detalles:
   + Nombres de recursos compartidos
   + Estado de uso compartido
   + Hora de la última modificación

Tras crear y compartir el recurso compartido con las cuentas consumidoras, estas disponen de 12 horas para aceptar la invitación. Para obtener más información, consulte [Aceptar y rechazar invitaciones a recursos compartidos](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) en la *Guía del usuario de AWS RAM*.

**importante**  
Para permitir que las cuentas consumidoras utilicen el origen de la VPC para su distribución de CloudFront, también debe proporcionar el Elastic Load Balancing de origen de la VPC o el punto de conexión de Amazon EC2.

**Cómo compartir un origen de la VPC que posea mediante la consola de AWS RAM**  
Cree un recurso compartido y, a continuación, elija los recursos de CloudFront que desee agregarlo. Para obtener más información, consulte [Creación de un recurso compartido](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create) en la *Guía del usuario de AWS RAM*.

**Cómo compartir un origen de la VPC que posea mediante la AWS CLI**  
Utilice el comando [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html).

## Uso de un origen de VPC compartido
<a name="using-shared-vpc-origin"></a>

Para usar un origen de la VPC compartido, la cuenta que recibe la invitación debe aceptar el recurso compartido. Para ello, acceda a la consola de AWS Resource Access Manager de la región Este de EE. UU. (Norte de Virginia) y acepte las solicitudes pendientes en la pestaña **Pendientes**. Para obtener más información, consulte [Aceptar recursos compartidos](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-invitations.html) en la *Guía del usuario de AWS RAM*. 

Tras aceptar el recurso compartido, podrá utilizar el origen de la VPC como origen de las distribuciones de CloudFront.

**Uso de un origen de la VPC compartido**

1. Abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. En el panel de navegación, para **Distribuciones**, realice alguna de las siguientes acciones:
   + Para una distribución nueva, elija **Crear distribución**.
   + Para una distribución existente, elija el ID de distribución.

1. Para **Tipo de origen**, elija **Origen de la VPC** y, a continuación, especifique el origen de la VPC que se compartió con usted.

1. Para el **Punto de conexión de origen de la VPC**, ingrese el nombre de DNS privado de la instancia de Amazon EC2, del equilibrador de carga de Elastic Load Balancing o del dominio de origen. Si aún no tiene este valor, debe obtenerlo de la Cuenta de AWS que posee el origen de la VPC. Si aún no tiene este punto de conexión, debe obtenerlo de la Cuenta de AWS que posee el origen de la VPC.

1. Siga los pasos de la consola para crear o actualizar la distribución. 

## Identificación de un origen de la VPC compartido
<a name="sharing-identify"></a>

Los propietarios y consumidores pueden identificar orígenes de la VPC compartidos mediante la consola de CloudFront y la AWS CLI.

**Cómo identificar un origen de la VPC compartido con la consola de CloudFront**

1. Abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. En el panel de navegación, elija **Orígenes de VPC**. Puede usar la columna de **ID de propietario** para identificar la Cuenta de AWS a la que pertenece el recurso.

1. Seleccione un recurso.

1. En la página de detalles del recurso, en **Compartido con**, puede ver que el origen de la VPC se comparte con los siguientes detalles:
   + Nombres de recursos compartidos
   + Estado de uso compartido
   + Hora de la última modificación

## Desactivación de un origen de la VPC compartido
<a name="sharing-unshare"></a>

Al dejar de compartir un recurso, las Cuentas de AWS (cuentas consumidoras) ya no pueden usar ese recurso para nuevas distribuciones ni actualizar las distribuciones existentes.

**nota**  
Si deja de compartir un recurso, las distribuciones existentes que todavía utilizan ese recurso permanecen activas y seguirán atendiendo el tráfico. Sin embargo, estas distribuciones no se pueden editar hasta que se elimine el recurso no compartido como origen. Recomendamos asegurarse de que las cuentas consumidoras dejen de usar el recurso no compartido antes de dejar de compartirlo.

Para dejar de compartir un origen de la VPC compartido que posee, debe quitarlo del recurso compartido. Para ello, puede utilizar la consola de CloudFront, la consola de AWS RAM o la AWS CLI.

**Cómo dejar de compartir un origen de la VPC compartido que posee mediante la consola de CloudFront**

1. Abra la consola de CloudFront en [https://console.aws.amazon.com/cloudfront/v4/home](https://console.aws.amazon.com/cloudfront/v4/home).

1. En el panel de navegación, elija **Orígenes de VPC**.

1. Seleccione un recurso y elija **Dejar de compartir**.

1. Revise los detalles en el cuadro de diálogo **Dejar de compartir un recurso** y, a continuación, elija **Dejar de compartir**. Las entidades principales mostradas ya no tendrán acceso al recurso compartido.

**Cómo dejar compartir un origen de la VPC compartido que posee mediante la consola de AWS RAM**  
Consulte [Actualización de un recurso compartido](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update) en la *Guía del usuario de AWS RAM*.

**Cómo dejar compartir un origen de la VPC compartido que posee mediante la AWS CLI**  
Utilice el comando [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html).

## Responsabilidades y permisos de orígenes de la VPC compartidos
<a name="sharing-perms"></a>

### Permisos de los propietarios
<a name="perms-owner"></a>

Como cuenta propietaria del recurso, asegúrese de que cualquier cuenta que consuma recursos deje de usar el recurso antes de dejar de compartirlo o eliminarlo.

### Permisos de los consumidores
<a name="perms-consumer"></a>

Las cuentas consumidoras pueden usar recursos compartidos como orígenes de las distribuciones de CloudFront, pero no pueden editar ni eliminar los recursos. De forma predeterminada, la política [AWSRAMDefaultPermissionCloudFront](#aws-ram-default-permission-cloudfront) de AWS administrada se aplica al recurso compartido de la cuenta compartida (la cuenta propietaria del recurso).

### AWSRAMDefaultPermissionCloudFront
<a name="aws-ram-default-permission-cloudfront"></a>

Al crear un recurso compartido en CloudFront, CloudFront utiliza la política administrada **AWSRAMDefaultPermissionCloudFront** AWS y la aplica al recurso compartido. Esta política otorga permisos de solo lectura a recursos de CloudFront que pueden compartirse entre el propietario del recurso y la cuenta que consume. 

Para obtener más información sobre administración de permisos en AWS RAM, consulte [Administración de permisos en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/security-ram-permissions.html) en la *Guía del usuario de AWS Resource Access Manager*. 

## Facturación y medición
<a name="sharing-billing"></a>

No hay cargos adicionales por compartir los orígenes de la VPC con otras Cuentas de AWS. Los costos de uso del tráfico de una distribución que utiliza un origen de la VPC compartido se destinarán a la cuenta consumidora propietaria de la distribución.

## Cuotas de recursos compartidos
<a name="sharing-quotas"></a>

CloudFront utiliza las mismas cuotas de recursos compartidos que las especificadas por AWS RAM. Desde la consola de CloudFront, puede agregar hasta 5 Cuentas de AWS, 1 OU o 1 organización. Para agregar más, utilice la consola de AWS RAM o la API de AWS RAM. 

Para obtener más información, consulte [Service Quotas para AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/service-quotas.html) en la *Guía del usuario deAWS RAM*.