Actualizar un recurso compartido en AWS RAM - AWS Resource Access Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualizar un recurso compartido en AWS RAM

Puede actualizar un recurso compartido en cualquier AWS RAM momento de las siguientes maneras:

  • Puede añadir entidades principales, recursos o etiquetas a un recurso compartido que haya creado.

  • En el caso de los tipos de recursos que admiten más permisos que el permiso AWS administrado predeterminado, puede elegir qué permiso administrado se aplica a los recursos de cada tipo.

  • Cuando un permiso administrado adjunto al recurso compartido tiene una nueva versión predeterminada, puede actualizar el permiso administrado para que utilice la nueva versión.

  • Puede revocar el acceso a los recursos compartidos eliminando entidades principales o recursos de un recurso compartido. Si revoca el acceso, las entidades principales ya no tendrán acceso a los recursos compartidos.

nota

Las entidades principales con las que comparte recursos pueden abandonar su recurso compartido si este está vacío o contiene solo tipos de recursos que permiten abandonar un recurso compartido. Si el recurso compartido contiene tipos de recursos que no admiten el abandono, aparece un mensaje que informa a las entidades principales que deben ponerse en contacto con el propietario del recurso compartido. En este caso, usted, como propietario del recurso compartido, debe eliminar las entidades principales del recurso compartido. Para obtener una lista de los tipos de recursos que no admiten esta acción, consulte Requisitos previos para abandonar un recurso compartido.

Console
Para actualizar un recurso compartido

  1. Vaya a la página Compartidos por mí: recursos compartidos de la consola de AWS RAM .

  2. Como AWS RAM los recursos compartidos existen de forma específica Regiones de AWS, elija el recurso correspondiente Región de AWS en la lista desplegable situada en la esquina superior derecha de la consola. Para ver los recursos compartidos que contienen recursos globales, debe establecer en EE.UU. Este (Norte de Virginia), (). Región de AWS us-east-1 Para obtener más información sobre cómo compartir recursos globales, consulte Compartir recursos regionales frente a recursos globales.

  3. Seleccione el recurso compartido y, a continuación, elija Modificar.

  4. En Paso 1: Especifique los detalles del recurso compartido, revise los detalles del recurso compartido y, si es necesario, actualice cualquiera de los siguientes elementos:

    1. (Opcional) Para cambiar el nombre del recurso compartido, edite el Nombre.

    2. (Opcional) Para añadir un recurso al recurso compartido, en Recursos, elija el tipo de recurso y, a continuación, active la casilla de verificación situada junto al recurso compartido para añadirlo al recurso compartido. Los recursos globales aparecen solo si configura la región como Este de EE. UU. (Norte de Virginia), (us-east-1) en la AWS Management Console.

    3. (Opcional) Para eliminar un recurso del recurso compartido, localice el recurso en Recursos seleccionados y, a continuación, pulse la X situada junto al ID del recurso.

    4. (Opcional) Para añadir una etiqueta al recurso compartido, en Etiquetas, ingrese una clave y un valor de etiqueta en los cuadros de texto vacíos. Para añadir más de un par de clave y valor de etiqueta, elija Añadir nueva etiqueta. Puede añadir hasta 50 etiquetas.

    5. Para eliminar una etiqueta del recurso compartido, en Etiquetas, localice la etiqueta y elija la opción Eliminar que aparece junto a ella.

  5. Elija Next (Siguiente).

  6. (Opcional) En el paso 2: asociar un permiso administrado a cada tipo de recurso, puede elegir asociar un permiso administrado creado por AWS el tipo de recurso, elegir un permiso administrado por el cliente existente o crear su propio permiso administrado por el cliente. Para obtener más información, consulte Tipos de permisos administrados.

    También puede elegir Crear permiso administrado por el cliente para crear un permiso administrado por el cliente que cumpla los requisitos de su caso de uso compartido. Para obtener más información, consulte Crear un permiso administrado por el cliente. Una vez que haya completado el proceso, elija Refresh icon y, a continuación, podrá seleccionar el nuevo permiso administrado por el cliente en la lista desplegable Permiso administrado.

    Para que se muestren las acciones que permite el permiso administrado, expanda Ver la plantilla de política de este permiso administrado.

  7. Si la versión del permiso administrado actualmente asignada al recurso compartido no es la versión predeterminada actual, puede actualizar a la versión predeterminada seleccionando Actualizar a la versión predeterminada.

    nota

    Hasta que guarde los cambios en el recurso compartido después del último paso, puede cancelar la actualización de la versión seleccionando Restablecer la versión anterior. Sin embargo, en el caso de los permisos AWS administrados, una vez guardado el recurso compartido, el cambio es definitivo y ya no podrá volver a la versión anterior.

  8. Elija Next (Siguiente).

  9. En Paso 3: Elija las entidades principales a las que se permite el acceso, revise las entidades principales seleccionadas y, si es necesario, actualice cualquiera de los elementos siguientes:

    1. (Opcional) Para cambiar si la opción de compartir está habilitada con las entidades principales internas o externas a la organización, elija una de las siguientes opciones:

      • Para compartir recursos Cuentas de AWS o IAM funciones o usuarios individuales ajenos a la organización, selecciona Permitir compartir con responsables externos.

      • Para restringir el uso compartido de recursos solo a los directores de su organización AWS Organizations, seleccione Permitir compartir solo con los directores de su organización.

    2. En Entidades principales, haga lo siguiente:

      • (Opcional) Para añadir una organización, una unidad organizativa (OU) o un miembro Cuenta de AWS a tu organización, activa Mostrar estructura organizativa para mostrar una vista en árbol de la organización. A continuación, selecciona la casilla de verificación situada junto a cada director que quieras añadir.

        importante

        Cuando comparte con una organización o OU, y ese ámbito incluye la cuenta propietaria del recurso compartido, todas las entidades principales de la cuenta compartida automáticamente obtienen acceso a los recursos del recurso compartido. El acceso concedido viene definido por los permisos administrados asociados al recurso compartido. Esto se debe a que la política basada en los recursos que se AWS RAM adjunta a cada recurso del recurso compartido utiliza "Principal": "*" Para obtener más información, consulte Implicaciones del uso de "Principal": "*" en una política basada en recursos.

        Las entidades principales de las demás cuentas consumidoras no obtienen acceso a los recursos del recurso compartido de inmediato. Los administradores de las demás cuentas primero deben adjuntar políticas de permisos basados en identidad a las entidades principales correspondientes. Esas políticas deben conceder el Allow acceso a los recursos individuales ARNs del recurso compartido. Los permisos de dichas políticas no pueden superar los especificados en el permiso administrado asociado al recurso compartido.

        nota

        La opción Mostrar estructura organizativa aparece solo si la opción de compartir con AWS Organizations está habilitada y si se ha iniciado sesión como entidad principal en la cuenta de administración de la organización.

        No puedes usar este método para especificar a alguien Cuenta de AWS ajeno a tu organización, ni a un IAM rol o usuario. En su lugar, debe añadir estas entidades principales introduciendo sus identificadores, que se muestran en el cuadro de texto situado debajo del conmutador Mostrar estructura organizativa. Consulte el punto siguiente.

      • (Opcional) Para añadir un director por su identificador, elija el tipo de principal en la lista desplegable y, a continuación, introduzca el ID o ARN el nombre del director. Por último, seleccione Añadir.

        Si selecciona una persona Cuenta de AWS, solo esa cuenta podrá acceder al recurso compartido. Puede elegir cualquiera de las opciones siguientes.

        • Otra Cuenta de AWS (distinta del propietario del recurso): hace que el recurso esté disponible para la otra cuenta. El administrador de esa cuenta debe completar el proceso concediendo acceso al recurso compartido a roles y usuarios individuales mediante políticas de permisos basadas en la identidad. Esos permisos no pueden superar los definidos en los permisos administrados adjuntos al recurso compartido.

        • Esto Cuenta de AWS (propietario del recurso): todos los roles y usuarios de la cuenta propietaria del recurso reciben automáticamente el acceso definido por los permisos administrados asociados al recurso compartido.

      • La adición aparece de inmediato en la lista Entidades principales seleccionadas.

        A continuación, puede agregar cuentas adicionales o su organización repitiendo este paso. OUs

      • (Opcional) Para eliminar un principal, búsquelo en Principales seleccionados, active su casilla de verificación y, a continuación, elija Deseleccionar.

  10. Elija Next (Siguiente).

  11. En Paso 4: Revisión y actualización, revise los detalles de configuración del recurso compartido.

  12. Para cambiar la configuración de cualquier paso, elija el enlace correspondiente al paso al que desea volver y haga los cambios necesarios.

    Si algún permiso administrado sigue utilizando versiones distintas de la predeterminada, tiene otra oportunidad de solucionarlo seleccionando Actualizar a la versión predeterminada.

  13. Cuando haya terminado de hacer cambios, elija Actualizar recurso compartido.

AWS CLI
Para actualizar un recurso compartido

Puede utilizar los siguientes AWS CLI comandos para modificar un recurso compartido:

  • Para cambiar el nombre de un recurso compartido o para cambiar si se permiten las entidades principales externas, utilice el comando update-resource-share. En el siguiente ejemplo, se cambia el nombre del recurso compartido especificado y se configura para que solo permita a los directores de su organización. Debe usar el punto de conexión del servicio para la Región de AWS que contiene el recurso compartido. 

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • Para añadir un recurso a un recurso compartido, utilice el comando associate-resource-share. En el siguiente ejemplo, se agrega una subred al recurso compartido especificado.

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • Para agregar o reemplazar un permiso administrado para un tipo de recurso en un recurso compartido, utilice los comandos list-permissions y associate-resource-share-permission. Solo puede asignar un permiso administrado por tipo de recurso en un recurso compartido. Si intenta añadir un permiso administrado a un tipo de recurso que ya tiene un permiso administrado, debe incluir la opción --replace o el comando fallará y se producirá un error.

    El siguiente comando de ejemplo muestra los ARNs permisos administrados disponibles para una subred de Amazon Elastic Compute Cloud (AmazonEC2) y, a continuación, usa uno de ellos ARNs para reemplazar el permiso AWS administrado actualmente asignado para ese tipo de recurso en el recurso compartido especificado. 

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • Para eliminar un recurso de un recurso compartido, usa el comando disassociate-resource-share. En el siguiente ejemplo, se elimina la EC2 subred de Amazon con lo especificado ARN del recurso compartido especificado.

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • Para modificar las etiquetas adjuntas a un recurso compartido, utilice los comandos tag-resource y untag-resource. En el siguiente ejemplo, se agrega la etiqueta project=lima al recurso compartido especificado.

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    En el siguiente ejemplo, se elimina la etiqueta con una clave project de del recurso compartido especificado.

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    Los comandos de etiquetado no generan ningún resultado si se ejecutan correctamente.