Actualizar un recurso compartido en AWS RAM - AWS Resource Access Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Actualizar un recurso compartido en AWS RAM

Puede actualizar un recurso compartido en AWS RAM en cualquier momento de las siguientes maneras:

  • Puede añadir entidades principales, recursos o etiquetas a un recurso compartido que haya creado.

  • En el caso de los tipos de recursos que admiten más permisos que el permiso administrado predeterminado de AWS, puede elegir qué permiso administrado se aplica a los recursos de cada tipo.

  • Cuando un permiso administrado adjunto al recurso compartido tiene una nueva versión predeterminada, puede actualizar el permiso administrado para que utilice la nueva versión.

  • Puede revocar el acceso a los recursos compartidos eliminando entidades principales o recursos de un recurso compartido. Si revoca el acceso, las entidades principales ya no tendrán acceso a los recursos compartidos.

nota

Las entidades principales con las que comparte recursos pueden abandonar su recurso compartido si este está vacío o contiene solo tipos de recursos que permiten abandonar un recurso compartido. Si el recurso compartido contiene tipos de recursos que no admiten el abandono, aparece un mensaje que informa a las entidades principales que deben ponerse en contacto con el propietario del recurso compartido. En este caso, usted, como propietario del recurso compartido, debe eliminar las entidades principales del recurso compartido. Para obtener una lista de los tipos de recursos que no admiten esta acción, consulte Requisitos previos para abandonar un recurso compartido.

Console
Para actualizar un recurso compartido

  1. Vaya a la página Compartidos por mí: recursos compartidos de la consola de AWS RAM.

  2. Puesto que los recursos compartidos de AWS RAM son específicos de las diferentes Regiones de AWS, elija la Región de AWS que corresponda en la lista desplegable de la esquina superior derecha de la consola. Para ver los recursos compartidos que contienen recursos globales, debe definir la Región de AWS como Este de EE. UU. (Norte de Virginia), (us-east-1). Para obtener información sobre cómo compartir recursos globales, consulte Compartir recursos regionales frente a recursos globales.

  3. Seleccione el recurso compartido y, a continuación, elija Modificar.

  4. En Paso 1: Especifique los detalles del recurso compartido, revise los detalles del recurso compartido y, si es necesario, actualice cualquiera de los siguientes elementos:

    1. (Opcional) Para cambiar el nombre del recurso compartido, edite el Nombre.

    2. (Opcional) Para añadir un recurso al recurso compartido, en Recursos, seleccione el tipo de recurso y, a continuación, active la casilla de verificación situada junto al recurso para añadirlo al recurso compartido. Los recursos globales aparecen solo si configura la región como Este de EE. UU. (Norte de Virginia), (us-east-1) en la AWS Management Console.

    3. (Opcional) Para eliminar un recurso del recurso compartido, localice el recurso en Recursos seleccionados y, a continuación, pulse la X situada junto al ID del recurso.

    4. (Opcional) Para añadir una etiqueta al recurso compartido, en Etiquetas, ingrese una clave y un valor de etiqueta en los cuadros de texto vacíos. Para añadir más de un par de clave y valor de etiqueta, elija Añadir nueva etiqueta. Puede añadir hasta 50 etiquetas.

    5. Para eliminar una etiqueta del recurso compartido, en Etiquetas, localice la etiqueta y elija la opción Eliminar que aparece junto a ella.

  5. Elija Siguiente.

  6. (Opcional) En Paso 2: Asociar un permiso administrado a cada tipo de recurso, puede optar por asociar un permiso administrado creado por AWS al tipo de recurso, elegir un permiso administrado por el cliente existente o crear su propio permiso administrado por el cliente. Para obtener más información, consulte Tipos de permisos administrados.

    También puede elegir Crear permiso administrado por el cliente para crear un permiso administrado por el cliente que cumpla los requisitos de su caso de uso compartido. Para obtener más información, consulte Crear un permiso administrado por el cliente. Una vez que haya completado el proceso, elija Refresh icon y, a continuación, podrá seleccionar el nuevo permiso administrado por el cliente en la lista desplegable Permiso administrado.

    Para que se muestren las acciones que permite el permiso administrado, expanda Ver la plantilla de política de este permiso administrado.

  7. Si la versión del permiso administrado actualmente asignada al recurso compartido no es la versión predeterminada actual, puede actualizar a la versión predeterminada seleccionando Actualizar a la versión predeterminada.

    nota

    Hasta que guarde los cambios en el recurso compartido después del último paso, puede cancelar la actualización de la versión seleccionando Restablecer la versión anterior. Sin embargo, en el caso de los permisos administrados de AWS, una vez guardado el recurso compartido, el cambio será definitivo y ya no podrá volver a la versión anterior.

  8. Elija Siguiente.

  9. En Paso 3: Elija las entidades principales a las que se permite el acceso, revise las entidades principales seleccionadas y, si es necesario, actualice cualquiera de los elementos siguientes:

    1. (Opcional) Para cambiar si la opción de compartir está habilitada con las entidades principales internas o externas a la organización, elija una de las siguientes opciones:

      • Para compartir recursos con roles o usuarios individuales de Cuentas de AWS externos a la organización, seleccione Permitir compartir con entidades principales externas.

      • Para restringir la capacidad de compartir recursos solo a las entidades principales de su organización en AWS Organizations, elija Permitir compartir solo dentro de la organización.

    2. En Entidades principales, haga lo siguiente:

      • (Opcional) Para añadir una organización, una unidad organizativa (OU) o una Cuenta de AWS miembro de su organización, active Mostrar estructura organizativa para que se muestre una vista de árbol de la organización. A continuación, seleccione la casilla de verificación situada junto a cada entidad principal que desea añadir.

        importante

        Cuando comparte con una organización o OU, y ese ámbito incluye la cuenta propietaria del recurso compartido, todas las entidades principales de la cuenta compartida automáticamente obtienen acceso a los recursos del recurso compartido. El acceso concedido viene definido por los permisos administrados asociados al recurso compartido. Esto se debe a que la política basada en recursos que AWS RAM adjunta a cada recurso del recurso compartido utiliza "Principal": "*". Para obtener más información, consulte Implicaciones del uso de "Principal": "*" en una política basada en recursos.

        Las entidades principales de las demás cuentas consumidoras no obtienen acceso a los recursos del recurso compartido de inmediato. Los administradores de las demás cuentas primero deben adjuntar políticas de permisos basados en identidad a las entidades principales correspondientes. Tales políticas deben conceder acceso Allow a los ARN de los recursos individuales del recurso compartido. Los permisos de dichas políticas no pueden superar los especificados en el permiso administrado asociado al recurso compartido.

        nota

        La opción Mostrar estructura organizativa aparece solo si la opción de compartir con AWS Organizations está habilitada y si se ha iniciado sesión como entidad principal en la cuenta de administración de la organización.

        No puede usar este método para especificar una Cuenta de AWS externa a la organización o un rol o usuario de IAM. En su lugar, debe añadir estas entidades principales introduciendo sus identificadores, que se muestran en el cuadro de texto situado debajo del conmutador Mostrar estructura organizativa. Consulte el punto siguiente.

      • (Opcional) Para añadir una entidad principal por su identificador, elija el tipo de entidad principal en la lista desplegable y, a continuación, introduzca el ID o el ARN de la entidad principal. Por último, seleccione Añadir.

        Si selecciona una Cuenta de AWS individual, solo dicha cuenta podrá acceder al recurso compartido. Puede elegir cualquiera de las opciones siguientes.

        • Otra Cuenta de AWS (distinta del propietario del recurso): hace que el recurso esté disponible para la otra cuenta. El administrador de esa cuenta debe completar el proceso concediendo acceso al recurso compartido a roles y usuarios individuales mediante políticas de permisos basadas en la identidad. Esos permisos no pueden superar los definidos en los permisos administrados adjuntos al recurso compartido.

        • Esta Cuenta de AWS (propietario del recurso): todos los roles y usuarios de la cuenta propietaria del recurso reciben automáticamente el acceso definido por los permisos administrados adjunto al recurso compartido.

      • La adición aparece de inmediato en la lista Entidades principales seleccionadas.

        A continuación, puede añadir otras cuentas, unidades organizativas o la organización repitiendo este paso.

      • (Opcional) Para eliminar una entidad principal, localícela en Entidades principales seleccionadas, seleccione la casilla de verificación que le corresponde y elija Anular selección.

  10. Elija Siguiente.

  11. En Paso 4: Revisión y actualización, revise los detalles de configuración del recurso compartido.

  12. Para cambiar la configuración de cualquier paso, elija el enlace correspondiente al paso al que desea volver y haga los cambios necesarios.

    Si algún permiso administrado sigue utilizando versiones distintas de la predeterminada, tiene otra oportunidad de solucionarlo seleccionando Actualizar a la versión predeterminada.

  13. Cuando haya terminado de hacer cambios, elija Actualizar recurso compartido.

AWS CLI
Para actualizar un recurso compartido

Puede usar los siguientes comandos de la AWS CLI para modificar un recurso compartido:

  • Para cambiar el nombre de un recurso compartido o si se permiten las entidades principales externas, utilice el comando update-resource-share. En el siguiente ejemplo, se cambia el nombre del recurso compartido especificado y se configura el recurso para que solo permita las entidades principales de su organización. Debe usar el punto de conexión del servicio para la Región de AWS que contiene el recurso compartido. 

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • Para añadir un recurso a un recurso compartido, utilice el comando associate-resource-share. En el siguiente ejemplo, se añade una subred al recurso compartido especificado.

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • Para añadir o reemplazar un permiso administrado para un tipo de recurso en un recurso compartido, use los comandos list-permissions y associate-resource-share-permission. Puede asignar un solo permiso administrado por tipo de recurso de un recurso compartido. Si intenta añadir un permiso administrado a un tipo de recurso que ya tiene un permiso administrado, debe incluir la opción --replace o el comando fallará y se producirá un error.

    El siguiente comando de ejemplo muestra los ARN de los permisos administrados disponibles para una subred de Amazon Elastic Compute Cloud (Amazon EC2) y, a continuación, usa uno de esos ARN para reemplazar el permiso administrado de AWS actualmente asignado a ese tipo de recurso en el recurso compartido especificado. 

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • Para eliminar un recurso de un recurso compartido, use el comando disassociate-resource-share. El siguiente ejemplo elimina la subred Amazon EC2 con el ARN especificado del recurso compartido especificado.

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • Para modificar las etiquetas adjuntas a un recurso compartido, use los comandos tag-resource y untag-resource. En el siguiente ejemplo, se añade la etiqueta project=lima al recurso compartido especificado.

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    En el siguiente ejemplo, se elimina la etiqueta con una clave project de del recurso compartido especificado.

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    Los comandos de etiquetado no generan ningún resultado si se ejecutan correctamente.