Crear un recurso compartido en AWS RAM - AWS Resource Access Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear un recurso compartido en AWS RAM

Para compartir recursos de su propiedad, debe crear un recurso compartido. A continuación se ofrece información general sobre el proceso:

  1. Añada los recursos que desea compartir.

  2. Para cada tipo de recurso que incluya en el recurso compartido, especifique el permiso administrado que se debe utilizar para dicho tipo de recurso.

    • Puede elegir uno de los permisos AWS gestionados disponibles, un permiso gestionado por el cliente existente o crear uno nuevo gestionado por el cliente.

    • AWS Los permisos gestionados se crean AWS para cubrir los casos de uso estándar.

    • Los permisos administrados por el cliente le permiten personalizar sus propios permisos administrados para adaptarlos a sus necesidades empresariales y de seguridad.

    nota

    Si el permiso administrado seleccionado tiene varias versiones, se adjunta AWS RAM automáticamente la versión predeterminada. Solo es posible adjuntar la versión designada como predeterminada.

  3. Especifique las entidades principales que desea que tengan acceso a los recursos.

Consideraciones

  • Si más adelante necesita eliminar un AWS recurso que haya incluido en un recurso compartido, le recomendamos que primero elimine el recurso de cualquier recurso compartido que lo incluya o que elimine el recurso compartido.

  • Puede ver una lista de los tipos de recursos que se pueden incluir en un recurso compartido en Recursos que se pueden compartir AWS.

  • Solo puede compartir los recursos que sean de su propiedad. No puede compartir recursos que se hayan compartido con usted.

  • AWS RAM es un servicio regional. Al compartir un recurso con entidades principales de otras Cuentas de AWS, dichas entidades principales deben acceder a cada recurso desde la misma Región de AWS en la que se creó. Para acceder a los recursos globales compatibles, puede acceder a esos recursos desde cualquier Región de AWS dispositivo compatible con la consola de servicio y las herramientas de ese recurso. Puede ver tales recursos compartidos y sus recursos globales en la consola y en las herramientas de AWS RAM únicamente en la región de origen designada, Este de EE. UU. (Norte de Virginia), us-east-1. Para obtener más información AWS RAM y recursos globales, consulteCompartir recursos regionales frente a recursos globales.

  • Si la cuenta desde la que compartes forma parte de una organización AWS Organizations y la opción de compartir dentro de tu organización está habilitada, todos los directores de la organización con los que compartas recursos tendrán acceso automáticamente a los recursos compartidos sin necesidad de utilizar invitaciones. Una entidad principal de una cuenta con la que comparte fuera del contexto de una organización recibe una invitación para unirse al recurso compartido y solo obtiene acceso a los recursos compartidos tras aceptar la invitación.

  • Si comparte con una entidad principal de servicio, no podrá asociar ninguna otra entidad principal al recurso compartido.

  • Si el uso compartido es entre cuentas o entidades principales que forman parte de una organización, cualquier cambio en la pertenencia a la organización afectará de manera dinámica al acceso al recurso compartido.

    • Si agrega una cuenta Cuenta de AWS a la organización o unidad organizativa que tiene acceso a un recurso compartido, esa nueva cuenta de miembro tendrá acceso automáticamente al recurso compartido. El administrador de la cuenta con la que ha compartido puede entonces conceder a determinadas entidades principales de dicha cuenta acceso a los recursos del ese recurso compartido.

    • Si elimina una cuenta de la organización o una OU que tenga acceso a un recurso compartido, las entidades principales de dicha cuenta pierden automáticamente el acceso a los recursos a los que se accedía a través del recurso compartido.

    • Si la ha compartido directamente con una cuenta de miembro o con los IAM roles o usuarios de la cuenta de miembro y, a continuación, la elimina de la organización, los directores de esa cuenta pierden el acceso a los recursos a los que se accedió a través de ese recurso compartido.

    importante

    Cuando comparte con una organización o OU, y ese ámbito incluye la cuenta propietaria del recurso compartido, todas las entidades principales de la cuenta compartida automáticamente obtienen acceso a los recursos del recurso compartido. El acceso concedido viene definido por los permisos administrados asociados al recurso compartido. Esto se debe a que la política basada en recursos que se AWS RAM adjunta a cada recurso del recurso compartido utiliza. "Principal": "*" Para obtener más información, consulte Implicaciones del uso de "Principal": "*" en una política basada en recursos.

    Las entidades principales de las demás cuentas consumidoras no obtienen acceso a los recursos del recurso compartido de inmediato. Los administradores de las demás cuentas primero deben adjuntar políticas de permisos basados en identidad a las entidades principales correspondientes. Esas políticas deben conceder el Allow acceso a los recursos individuales ARNs del recurso compartido. Los permisos de dichas políticas no pueden superar los especificados en el permiso administrado asociado al recurso compartido.

  • Solo puede agregar la organización de la que forma parte su cuenta y OUs desde esa organización a sus recursos compartidos. No puede agregar OUs ni organizaciones ajenas a la suya a un recurso compartido como directores. Sin embargo, puede agregar IAM roles y usuarios individuales Cuentas de AWS o, en el caso de los servicios compatibles, ajenos a la organización como directores de un recurso compartido.

    nota

    No todos los tipos de recursos se pueden compartir con los IAM roles y los usuarios. Para obtener información sobre los recursos que puede compartir con estas entidades principales, consulte Recursos que se pueden compartir AWS.

  • Para los siguientes tipos de recursos, dispone de siete días para aceptar la invitación a unirse al recurso compartido para los siguientes tipos de recursos. Si no acepta la invitación antes de que caduque, esta se rechazará automáticamente.

    importante

    En el caso de los tipos de recursos compartidos que no figuran en la lista siguiente, dispone de 12 horas para aceptar la invitación a unirse al recurso compartido. Transcurridas 12 horas, la invitación caduca y se elimina la asociación de la entidad principal de usuario final del recurso compartido. Los usuarios finales ya no pueden aceptar la invitación.

    • Amazon Aurora: clústeres de base de datos (DB)

    • AmazonEC2: reservas de capacidad y anfitriones dedicados

    • AWS License Manager — Configuraciones de licencias

    • AWS Outposts — Tablas de rutas, puestos de avanzada y sitios de las pasarelas de enlace locales

    • Amazon Route 53: reglas de reenvío

    • AmazonVPC: IPv4 direcciones propiedad de los clientes, listas de prefijos, subredes, objetivos de espejo de tráfico, pasarelas de tránsito, dominios de multidifusión de pasarelas de tránsito

Console
Para crear un recurso compartido

  1. Abra la consola de AWS RAM.

  2. Como AWS RAM los recursos compartidos existen de forma específica Regiones de AWS, elija el recurso correspondiente en la lista desplegable Región de AWS situada en la esquina superior derecha de la consola. Para ver los recursos compartidos que contienen recursos globales, debe establecer en EE.UU. Este (Norte de Virginia), (). Región de AWS us-east-1 Para obtener más información sobre cómo compartir recursos globales, consulte Compartir recursos regionales frente a recursos globales. Si desea incluir recursos globales en el recurso compartido, debe elegir la región de origen designada, Este de EE. UU. (Norte de Virginia),us-east-1.

  3. Si es la primera vez que lo AWS RAM hace, elija Crear un recurso compartido en la página de inicio. De lo contrario, elija Crear recurso compartido en la página Compartidos por mí: recursos compartidos.

  4. En Paso 1: Especifique los detalles del recurso compartido, haga lo siguiente:

    1. En Nombre, introduzca un nombre descriptivo para el recurso compartido.

    2. En Recursos, elija los recursos que desea añadir al recurso compartido de la siguiente manera:

      • En Seleccionar tipo de recurso, elija el tipo de recurso que desea compartir. Esta acción filtra la lista de recursos que se pueden compartir y muestra solo los recursos del tipo seleccionado.

      • En la lista de recursos resultante, selecciona las casillas de verificación situadas junto a los recursos individuales que quieras compartir. Los recursos seleccionados se mueven a Recursos seleccionados.

        Si va a compartir recursos asociados a una zona de disponibilidad concreta, usar el ID de zona de disponibilidad (ID de AZ) le ayudará a determinar la ubicación relativa de los recursos en las distintas cuentas. Para obtener más información, consulte ID de zona de disponibilidad para sus recursos de AWS.

    3. (Opcional) Para adjuntar etiquetas al recurso compartido, en Etiquetas, introduzca una clave y un valor de etiqueta. Para añadir otras, elija Añadir nueva etiqueta. Repita este paso tantas veces como sea necesario. Estas etiquetas se aplican únicamente al recurso compartido propiamente dicho, no a los recursos que este contiene.

  5. Elija Next (Siguiente).

  6. En el paso 2: asociar un permiso administrado a cada tipo de recurso, puede elegir asociar un permiso administrado creado por AWS el tipo de recurso, elegir un permiso administrado por el cliente existente o crear su propio permiso administrado por el cliente para los tipos de recursos compatibles. Para obtener más información, consulte Tipos de permisos administrados.

    Elija Crear permiso administrado por el cliente para crear un permiso administrado por el cliente que cumpla los requisitos de su caso de uso compartido. Para obtener más información, consulte Crear un permiso administrado por el cliente. Una vez que haya completado el proceso, elija Refresh icon y, a continuación, podrá seleccionar el nuevo permiso administrado por el cliente en la lista desplegable Permisos administrados.

    nota

    Si el permiso administrado seleccionado tiene varias versiones, AWS RAM adjunta automáticamente la versión predeterminada. Solo es posible adjuntar la versión designada como predeterminada.

    Para mostrar las acciones que permite el permiso administrado, expanda Ver la plantilla de política de este permiso administrado.

  7. Elija Siguiente.

  8. En Paso 3: Otorgar acceso a entidades principales, haga lo siguiente:

    1. De forma predeterminada, está seleccionada la opción Permitir compartir con cualquier persona, lo que significa que, en el caso de los tipos de recursos que lo admiten, puede compartir recursos con Cuentas de AWS personas ajenas a su organización. Esto no afecta a los tipos de recursos que solo se pueden compartir dentro de una organización, como las VPC subredes de Amazon. También puedes compartir algunos tipos de recursos compatibles con IAM roles y usuarios.

      Para restringir la capacidad de compartir recursos solo a las cuentas y entidades principales de su organización, elija Permitir compartir solo dentro de la organización.

    2. En Entidades principales, haga lo siguiente:

      • Para añadir la organización, una unidad organizativa (OU) o una Cuenta de AWS que forme parte de una organización, activa Mostrar estructura organizativa. Se muestra una vista en árbol de la organización. A continuación, selecciona la casilla de verificación situada junto a cada director que quieras añadir.

        importante

        Cuando comparte con una organización o OU, y ese ámbito incluye la cuenta propietaria del recurso compartido, todas las entidades principales de la cuenta compartida automáticamente obtienen acceso a los recursos del recurso compartido. El acceso concedido viene definido por los permisos administrados asociados al recurso compartido. Esto se debe a que la política basada en recursos que se AWS RAM adjunta a cada recurso del recurso compartido utiliza. "Principal": "*" Para obtener más información, consulte Implicaciones del uso de "Principal": "*" en una política basada en recursos.

        Las entidades principales de las demás cuentas consumidoras no obtienen acceso a los recursos del recurso compartido de inmediato. Los administradores de las demás cuentas primero deben adjuntar políticas de permisos basados en identidad a las entidades principales correspondientes. Esas políticas deben conceder el Allow acceso a los recursos individuales ARNs del recurso compartido. Los permisos de dichas políticas no pueden superar los especificados en el permiso administrado asociado al recurso compartido.

        • Si selecciona la organización (el ID comienza por o-), las entidades principales de todas las Cuentas de AWS de la organización podrán acceder al recurso compartido.

        • Si selecciona una unidad organizativa (el identificador comienza porou-), los directores de toda Cuentas de AWS la unidad organizativa y su unidad secundaria OUs pueden acceder al recurso compartido.

        • Si selecciona una persona Cuenta de AWS, solo los directores de esa cuenta pueden acceder al recurso compartido.

        nota

        La opción Mostrar estructura organizativa aparece solo si la opción de compartir con AWS Organizations está habilitada y si se ha iniciado sesión en la cuenta de administración de la organización.

        No puedes usar este método para especificar a alguien Cuenta de AWS ajeno a tu organización, ni a un IAM rol o usuario. En su lugar, debes desactivar Mostrar estructura organizativa y utilizar la lista desplegable y el cuadro de texto para introducir el identificador oARN.

      • Para especificar un director por ID oARN, incluidos los directores que están fuera de la organización, seleccione el tipo de director para cada director. A continuación, introduzca el ID (para una Cuenta de AWS organización o una OU) o ARN (para un IAM rol o un usuario) y, a continuación, elija Agregar. Los principales tipos, ID y ARN formatos disponibles son los siguientes:

        • Cuenta de AWS— Para añadir una Cuenta de AWS, introduce la ID de cuenta de 12 dígitos. Por ejemplo:

          123456789012

        • Organización: para añadir todos los elementos Cuentas de AWS de su organización, introduzca el ID de la organización. Por ejemplo:

          o-abcd1234

        • Unidad organizativa (OU): para añadir una OU, introduzca el ID de la OU. Por ejemplo:

          ou-abcd-1234efgh

        • IAMrol: para añadir un IAM rol, introduzca el ARN del rol. Utilice la siguiente sintaxis:

          arn:partition:iam::account:role/role-name

          Por ejemplo:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          nota

          Para obtener el carácter exclusivo ARN de un IAM rol, consulte la lista de roles en la IAM consola y utilice el AWS CLI comando get-role o la GetRoleAPIacción.

        • IAMusuario: para añadir un IAM usuario, introduzca el ARN del usuario. Utilice la siguiente sintaxis:

          arn:partition:iam::account:user/user-name

          Por ejemplo:

          arn:aws:iam::123456789012:user/bob

          nota

          Para obtener la información única ARN de un IAM usuario, consulte la lista de usuarios en la IAM consola y utilice la get-user AWS CLI comando, o el GetUserAPIacción.

      • Entidad principal de servicio: para añadir una entidad principal de servicio, elija Entidad principal de servicio en el cuadro desplegable Seleccionar tipo de entidad principal. Introduzca el nombre de la entidad principal de servicio de AWS . Utilice la siguiente sintaxis:

        • service-id.amazonaws.com

          Por ejemplo:

          pca-connector-ad.amazonaws.com

    3. En Entidades principales seleccionadas, compruebe que las entidades principales que ha especificado figuran en la lista.

  9. Elija Siguiente.

  10. En Paso 4: Revisión y creación, revise los detalles de configuración del recurso compartido. Para cambiar la configuración de cualquier paso, elija el enlace correspondiente al paso al que desea volver y realice los cambios necesarios.

  11. Cuando haya terminado de revisar el recurso compartido, elija Crear recurso compartido.

    La asociación del recurso y la entidad principal puede tardar unos minutos en completarse. Espere a que finalice el proceso antes de intentar utilizar el recurso compartido.

  12. Puede añadir y eliminar recursos y entidades principales, o aplicar etiquetas personalizadas al recurso compartido en cualquier momento. Puede cambiar el permiso administrado de los tipos de recursos que se incluyen en el recurso compartido para aquellos tipos que admitan más permisos que el permiso administrado predeterminado. Puede eliminar el recurso compartido cuando ya no desee compartir los recursos. Para obtener más información, consulte Compartir AWS recursos de su propiedad.

AWS CLI
Para crear un recurso compartido

Utilizar create-resource-sharecomando. El siguiente comando crea un recurso compartido que se comparte con todos los miembros Cuentas de AWS de la organización. El recurso compartido contiene una configuración de AWS License Manager licencia y concede los permisos administrados predeterminados para ese tipo de recurso.

nota

Si desea usar un permiso administrado por el cliente con un tipo de recurso en este recurso compartido, puede usar uno existente o crear uno nuevo. Anote el permiso administrado ARN por el cliente y, a continuación, cree el recurso compartido. Para obtener más información, consulte Crear un permiso administrado por el cliente.

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}