Partage de vos AWS ressources - AWS Resource Access Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Partage de vos AWS ressources

Pour partager une ressource dont vous êtes propriétaire en utilisantAWS RAM, procédez comme suit :

Remarques
  • Le partage d'une ressource avec des personnes extérieures au Compte AWS propriétaire de la ressource ne modifie pas les autorisations ou les quotas qui s'appliquent à la ressource dans le compte qui l'a créée.

  • AWS RAMest un service régional. Les principaux partenaires avec lesquels vous partagez peuvent accéder aux partages de ressources uniquement dans le pays Régions AWS dans lequel ils ont été créés.

  • Certaines ressources comportent des considérations particulières et des conditions préalables au partage. Pour en savoir plus, consultez Ressources partageables AWS.

Activez le partage des ressources au sein de AWS Organizations

Lorsque votre compte est géré parAWS Organizations, vous pouvez en profiter pour partager des ressources plus facilement. Avec ou sans Organizations, un utilisateur peut partager avec des comptes individuels. Toutefois, si votre compte appartient à une organisation, vous pouvez le partager avec des comptes individuels, ou avec tous les comptes de l'organisation ou d'une unité d'organisation sans avoir à énumérer chaque compte.

Pour partager des ressources au sein d'une organisation, vous devez d'abord utiliser la AWS RAM console ou AWS Command Line Interface (AWS CLI) pour activer le partage avecAWS Organizations. Lorsque vous partagez des ressources au sein de votre organisation, AWS RAM il n'envoie pas d'invitations aux principaux. Les responsables de votre organisation ont accès aux ressources partagées sans avoir à échanger d'invitations.

Lorsque vous activez le partage des ressources au sein de votre organisation, AWS RAM crée un rôle lié à un service appelé. AWSServiceRoleForResourceAccessManager Ce rôle ne peut être assumé que par le AWS RAM service et accorde AWS RAM l'autorisation de récupérer des informations sur l'organisation dont il est membre, à l'aide de la politique AWS géréeAWSResourceAccessManagerServiceRolePolicy.

Si vous n'avez plus besoin de partager des ressources avec l'ensemble de votre organisation ou de vos unités d'organisation, vous pouvez désactiver le partage des ressources. Pour en savoir plus, consultez Désactiver le partage de ressources avec AWS Organizations.

Autorisations minimales

Pour exécuter les procédures ci-dessous, vous devez vous connecter en tant que principal au compte de gestion de l'organisation disposant des autorisations suivantes :

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

Prérequis
  • Vous ne pouvez effectuer ces étapes que lorsque vous êtes connecté en tant que principal dans le compte de gestion de l'organisation.

  • Toutes les fonctionnalités de l'organisation doivent être activées. Pour plus d'informations, consultez la section Activation de toutes les fonctionnalités de votre organisation dans le Guide de AWS Organizations l'utilisateur.

Important

Vous devez activer le partage avec à AWS Organizations l'aide de la AWS RAM console ou de la AWS CLI commande enable-sharing-with-aws-organization. Cela garantit que leAWSServiceRoleForResourceAccessManager rôle lié à un service est créé. Si vous activez l'accès sécurisé à l'aide AWS Organizations de la AWS Organizations console ou de la enable-aws-service-accessAWS CLIcommande, le rôle AWSServiceRoleForResourceAccessManager lié au service n'est pas créé et vous ne pouvez pas partager de ressources au sein de votre organisation.

Console
Pour activer le partage des ressources au sein de votre organisation
  1. Ouvrez la page Paramètres dans la AWS RAM console.

  2. Sélectionnez Activer le partage avec AWS Organizations, puis Enregistrer les paramètres.

AWS CLI
Pour activer le partage des ressources au sein de votre organisation

Utilisez la commande enable-sharing-with-aws-organization.

Cette commande peut être utilisée dans n'importe quelle régionRégion AWS, et elle permet le partage avec AWS Organizations toutes les régions prises en charge. AWS RAM

$ aws ram enable-sharing-with-aws-organization { "returnValue": true }

Création d'un partage de ressources

Pour partager des ressources dont vous êtes propriétaire, créez un partage de ressources. Voici la procédure générale :

  1. Ajoutez les ressources que vous souhaitez partager.

  2. Pour chaque type de ressource que vous incluez dans le partage, spécifiez l'autorisation gérée à utiliser pour ce type de ressource.

    • Vous pouvez choisir entre l'une des autorisations AWS gérées disponibles, une autorisation gérée par le client existante ou créer une nouvelle autorisation gérée par le client.

    • AWSles autorisations gérées sont créées par AWS pour couvrir les cas d'utilisation standard.

    • Les autorisations gérées par le client vous permettent de personnaliser vos propres autorisations gérées pour répondre à vos besoins commerciaux et de sécurité.

    Note

    Si l'autorisation gérée sélectionnée comporte plusieurs versions, elle associe AWS RAM automatiquement la version par défaut. Vous ne pouvez joindre que la version désignée par défaut.

  3. Spécifiez les principaux auxquels vous souhaitez avoir accès aux ressources.

Considérations
  • Si vous devez ultérieurement supprimer une AWS ressource que vous avez incluse dans un partage, nous vous recommandons de supprimer d'abord la ressource de tout partage de ressources qui l'inclut ou de supprimer le partage de ressources.

  • Les types de ressources que vous pouvez inclure dans un partage de ressources sont répertoriés surRessources partageables AWS.

  • Vous ne pouvez partager une ressource que si elle vous appartient. Vous ne pouvez pas partager une ressource partagée avec vous.

  • AWS RAMest un service régional. Lorsque vous partagez une ressource avec des principaux d'autres entitésComptes AWS, ces derniers doivent accéder à chaque ressource depuis la même source Région AWS que celle dans laquelle elle a été créée. Pour les ressources globales prises en charge, vous pouvez accéder à ces ressources à partir de toutes Région AWS les ressources prises en charge par la console de service et les outils de cette ressource. Vous pouvez consulter ces partages de ressources et leurs ressources globales dans la AWS RAM console et les outils uniquement dans la région d'origine désignée, à savoir l'est des États-Unis (Virginie du Nord)us-east-1. Pour plus d'informations AWS RAM et pour obtenir des ressources globales, consultezPartage des ressources régionales par rapport aux ressources mondiales.

  • Si le compte à partir duquel vous partagez fait partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, tous les directeurs de l'organisation avec lesquels vous partagez des ressources sont automatiquement autorisés à accéder aux partages de ressources sans avoir à recourir à des invitations. Le responsable d'un compte avec lequel vous partagez des ressources en dehors du contexte d'une organisation reçoit une invitation à rejoindre le partage des ressources et n'a accès aux ressources partagées qu'après avoir accepté l'invitation.

  • Si vous partagez avec un directeur de service, vous ne pouvez associer aucun autre principal au partage de ressources.

  • Si le partage s'effectue entre des comptes ou des principaux membres d'une organisation, toute modification apportée à l'adhésion à l'organisation affecte de manière dynamique l'accès au partage des ressources.

    • Si vous ajoutez Compte AWS à l'organisation ou à une unité d'organisation ayant accès à un partage de ressources, ce nouveau compte de membre accède automatiquement au partage de ressources. L'administrateur du compte avec lequel vous avez partagé peut ensuite autoriser les principaux de ce compte à accéder aux ressources de ce partage.

    • Si vous supprimez un compte de l'organisation ou une unité d'organisation ayant accès à un partage de ressources, tous les principaux de ce compte perdent automatiquement l'accès aux ressources accessibles via ce partage de ressources.

    • Si vous avez partagé directement avec un compte membre ou avec des rôles ou utilisateurs IAM dans le compte membre, puis que vous supprimez ce compte de l'organisation, tous les principaux de ce compte perdent l'accès aux ressources accessibles via ce partage de ressources.

    Important

    Lorsque vous partagez avec une organisation ou une unité d'organisation, et que cette étendue inclut le compte propriétaire du partage de ressources, tous les principaux du compte de partage ont automatiquement accès aux ressources du partage. L'accès accordé est défini par les autorisations gérées associées au partage. Cela est dû au fait que la politique basée sur les ressources qui AWS RAM s'attache à chaque ressource du partage utilise. "Principal": "*" Pour en savoir plus, consultez Implications de l'utilisation"Principal": "*"dans une politique basée sur les ressources.

    Les directeurs des autres comptes consommateurs n'ont pas immédiatement accès aux ressources de l'action. Les administrateurs des autres comptes doivent d'abord associer des politiques d'autorisation basées sur l'identité aux principaux appropriés. Ces politiques doivent accorder Allow l'accès aux ARN des ressources individuelles du partage de ressources. Les autorisations définies dans ces politiques ne peuvent pas dépasser celles spécifiées dans l'autorisation gérée associée au partage de ressources.

  • Vous ne pouvez ajouter que l'organisation dont votre compte est membre et les unités d'organisation de cette organisation à vos partages de ressources. Vous ne pouvez pas ajouter des unités d'organisation ou des organisations extérieures à votre propre organisation à un partage de ressources en tant que principaux. Toutefois, vous pouvez ajouter des rôles IAM individuels Comptes AWS ou, pour les services pris en charge, des rôles IAM et des utilisateurs extérieurs à votre organisation en tant que principaux d'un partage de ressources.

    Note

    Les types de ressource ne peuvent pas tous être partagés avec les utilisateurs et les rôles IAM. Pour plus d'informations sur les ressources que vous pouvez partager avec ces responsables, consultezRessources partageables AWS.

  • Pour les types de ressources suivants, vous avez sept jours pour accepter l'invitation à rejoindre le partage pour les types de ressources suivants. Si vous n'acceptez pas l'invitation avant son expiration, elle est automatiquement refusée.

    Important

    Pour les types de ressources partagées ne figurant pas dans la liste suivante, vous avez 12 heures pour accepter l'invitation à rejoindre le partage de ressources. Au bout de 12 heures, l'invitation expire et l'utilisateur final principal du partage de ressources est dissocié. L'invitation ne peut plus être acceptée par les utilisateurs finaux.

    • Amazon Aurora — Clusters de bases de données

    • Amazon EC2 : réservations de capacité et hôtes dédiés

    • AWS License Manager— Configurations de licence

    • AWS Outposts— Tables de routage, avant-postes et sites des passerelles locales

    • Amazon Route 53 — Règles de transfert

    • Amazon VPC : adresses IPv4, listes de préfixes, sous-réseaux, cibles miroir du trafic, passerelles de transit, domaines de multidiffusion des passerelles de transit

Console
Pour créer un partage de ressources
  1. Ouvrez la console AWS RAM.

  2. Étant donné que les partages de AWS RAM ressources existent de manière spécifiqueRégions AWS, choisissez le partage approprié Région AWS dans la liste déroulante située dans le coin supérieur droit de la console. Pour voir les partages de ressources contenant des ressources globales, vous devez Région AWS définir la valeur USA Est (Virginie du Nord), (us-east-1). Pour plus d'informations sur le partage de ressources globales, consultezPartage des ressources régionales par rapport aux ressources mondiales. Si vous souhaitez inclure des ressources mondiales dans le partage des ressources, vous devez choisir la région d'origine désignée, USA Est (Virginie du Nord)us-east-1.

  3. Si vous êtes nouveau dans ce AWS RAM domaine, choisissez Créer un partage de ressources sur la page d'accueil. Sinon, choisissez Créer un partage de ressources sur la page Partagé par moi : partages de ressources.

  4. À l'étape 1 : Spécifier les détails du partage des ressources, procédez comme suit :

    1. Dans Nom, entrez un nom descriptif pour le partage de ressources.

    2. Sous Ressources, choisissez les ressources à ajouter au partage de ressources comme suit :

      • Pour Sélectionner le type de ressource, choisissez le type de ressource à partager. Cela filtre la liste des ressources partageables uniquement pour les ressources du type sélectionné.

      • Dans la liste des ressources qui s'affiche, cochez les cases à côté des ressources individuelles que vous souhaitez partager. Les ressources sélectionnées sont déplacées sous Ressources sélectionnées.

        Si vous partagez des ressources associées à une zone de disponibilité spécifique, l'utilisation de l'ID de zone de disponibilité (AZ ID) vous permet de déterminer l'emplacement relatif de ces ressources sur tous les comptes. Pour en savoir plus, consultez Identifiants de zone de disponibilité pour vosAWS ressources.

    3. (Facultatif) Pour associer des balises au partage de ressources, sous Balises, entrez une clé et une valeur de balise. Ajoutez-en d'autres en choisissant Ajouter un nouveau tag. Répétez cette étape si nécessaire. Ces balises s'appliquent uniquement au partage de ressources lui-même, et non aux ressources du partage de ressources.

  5. Choisissez Suivant.

  6. À l'étape 2 : associer une autorisation gérée à chaque type de ressource, vous pouvez choisir d'associer une autorisation gérée créée par AWS au type de ressource, choisir une autorisation gérée par le client existante ou créer votre propre autorisation gérée par le client pour les types de ressources pris en charge. Pour en savoir plus, consultez Types d'autorisations gérées.

    Choisissez Créer une autorisation gérée par le client pour créer une autorisation gérée par le client qui répond aux exigences de votre cas d'utilisation du partage. Pour de plus amples informations, veuillez consulter Créer une autorisation gérée par le client. Une fois le processus terminé, choisissez, Refresh icon puis vous pouvez sélectionner l'autorisation gérée par votre nouveau client dans la liste déroulante Autorisations gérées.

    Note

    Si l'autorisation gérée sélectionnée comporte plusieurs versions, elle associe AWS RAM automatiquement la version par défaut. Vous ne pouvez joindre que la version désignée par défaut.

    Pour afficher les actions autorisées par l'autorisation gérée, développez Afficher le modèle de politique pour cette autorisation gérée.

  7. Choisissez Suivant.

  8. À l'étape 3 : Accorder l'accès aux principaux, procédez comme suit :

    1. Par défaut, l'option Autoriser le partage avec n'importe qui est sélectionnée, ce qui signifie que, pour les types de ressources compatibles, vous pouvez partager des ressources extérieures à votre organisation. Comptes AWS Cela n'affecte pas les types de ressources qui ne peuvent être partagés qu'au sein d'une organisation, tels que les sous-réseaux Amazon VPC. Vous pouvez également partager certains types de ressources pris en charge avec des rôles et des utilisateurs IAM.

      Pour limiter le partage des ressources aux seuls comptes et aux principaux de votre organisation, choisissez Autoriser le partage uniquement au sein de votre organisation.

    2. Pour les directeurs, procédez comme suit :

      • Pour ajouter l'organisation, une unité organisationnelle (UO) ou une unité Compte AWS faisant partie d'une organisation, activez Afficher la structure organisationnelle. Cela affiche une vue arborescente de votre organisation. Cochez ensuite la case à côté de chaque principal que vous souhaitez ajouter.

        Important

        Lorsque vous partagez avec une organisation ou une unité d'organisation, et que cette étendue inclut le compte propriétaire du partage de ressources, tous les principaux du compte de partage ont automatiquement accès aux ressources du partage. L'accès accordé est défini par les autorisations gérées associées au partage. Cela est dû au fait que la politique basée sur les ressources qui AWS RAM s'attache à chaque ressource du partage utilise. "Principal": "*" Pour en savoir plus, consultez Implications de l'utilisation"Principal": "*"dans une politique basée sur les ressources.

        Les directeurs des autres comptes consommateurs n'ont pas immédiatement accès aux ressources de l'action. Les administrateurs des autres comptes doivent d'abord associer des politiques d'autorisation basées sur l'identité aux principaux appropriés. Ces politiques doivent accorder Allow l'accès aux ARN des ressources individuelles du partage de ressources. Les autorisations définies dans ces politiques ne peuvent pas dépasser celles spécifiées dans l'autorisation gérée associée au partage de ressources.

        • Si vous sélectionnez l'organisation (l'ID commence paro-), les Comptes AWS principaux membres de l'organisation peuvent accéder au partage des ressources.

        • Si vous sélectionnez une unité d'organisation (l'ID commence parou-), les principaux de l'ensemble de cette unité d'Comptes AWSorganisation et de ses unités d'organisation secondaires peuvent accéder au partage de ressources.

        • Si vous sélectionnez une personneCompte AWS, seuls les principaux de ce compte peuvent accéder au partage des ressources.

        Note

        Le bouton Afficher la structure organisationnelle apparaît uniquement si le partage avec AWS Organizations est activé et si vous êtes connecté au compte de gestion de l'organisation.

        Vous ne pouvez pas utiliser cette méthode pour spécifier un rôle ou un utilisateur Compte AWS externe à votre organisation, ni un rôle ou un utilisateur IAM. Vous devez plutôt désactiver Afficher la structure organisationnelle et utiliser la liste déroulante et la zone de texte pour saisir l'ID ou l'ARN.

      • Pour spécifier un principal par ID ou ARN, y compris les principaux extérieurs à l'organisation, sélectionnez le type de principal pour chaque principal. Entrez ensuite l'ID (pour une organisation ou une Compte AWS unité d'organisation) ou l'ARN (pour un rôle ou un utilisateur IAM), puis choisissez Ajouter. Les principaux types et formats d'ID et d'ARN disponibles sont les suivants :

        • Compte AWS— Pour ajouter unCompte AWS, entrez l'identifiant de compte à 12 chiffres. Par exemple :

          123456789012

        • Organisation : pour ajouter tous les éléments Comptes AWS de votre organisation, entrez l'ID de l'organisation. Par exemple :

          o-abcd1234

        • Unité organisationnelle (UO) : pour ajouter une UO, entrez son ID. Par exemple :

          ou-abcd-1234efgh

        • Rôle IAM : pour ajouter un rôle IAM, entrez l'ARN du rôle. Utilisez la syntaxe suivante :

          arn:partition:iam::account:role/role-name

          Par exemple :

          arn:aws:iam::123456789012:role/MyS3AccessRole

          Note

          Pour obtenir l'ARN unique d'un rôle IAM, consultez la liste des rôles dans la console IAM, utilisez la AWS CLI commande get-role ou l'action API. GetRole

        • Utilisateur IAM : pour ajouter un utilisateur IAM, entrez son ARN. Utilisez la syntaxe suivante :

          arn:partition:iam::account:user/user-name

          Par exemple :

          arn:aws:iam::123456789012:user/bob

          Note

          Pour obtenir l'ARN unique d'un utilisateur IAM, consultez la liste des utilisateurs dans la console IAM, utilisez la get-userAWS CLIcommande ou l'action de l'GetUserAPI.

      • Principal de service — Pour ajouter un principal de service, choisissez Service principal dans la boîte de dialogue Sélectionner le type de principal. Entrez le nom du directeur du AWS service. Utilisez la syntaxe suivante :

        • service-id.amazonaws.com

          Par exemple :

          pca-connector-ad.amazonaws.com

    3. Pour les principes sélectionnés, vérifiez que les principaux que vous avez spécifiés apparaissent dans la liste.

  9. Choisissez Suivant.

  10. À l'étape 4 : Révision et création, passez en revue les détails de configuration de votre partage de ressources. Pour modifier la configuration d'une étape, choisissez le lien correspondant à l'étape à laquelle vous souhaitez revenir et apportez les modifications requises.

  11. Après avoir passé en revue le partage de ressources, choisissez Créer un partage de ressources.

    L'association entre la ressource et le mandataire peut prendre quelques minutes. Laissez ce processus se terminer avant d'essayer d'utiliser le partage de ressources.

  12. Vous pouvez ajouter et supprimer des ressources et des principes ou appliquer des balises personnalisées à votre partage de ressources à tout moment. Vous pouvez modifier l'autorisation gérée pour les types de ressources inclus dans votre partage de ressources, pour les types qui prennent en charge plus que l'autorisation gérée par défaut. Vous pouvez supprimer votre partage de ressources lorsque vous ne souhaitez plus partager les ressources. Pour en savoir plus, consultez PartagezAWS les ressources que vous possédez.

AWS CLI
Pour créer un partage de ressources

Utilisez la commande create-resource-share. La commande suivante crée un partage de ressources qui est partagé avec tous les membres Comptes AWS de l'organisation. Le partage contient une configuration de AWS License Manager licence et accorde les autorisations gérées par défaut pour ce type de ressource.

Note

Si vous souhaitez utiliser une autorisation gérée par le client avec un type de ressource dans ce partage de ressources, vous pouvez soit utiliser une autorisation gérée par le client existante, soit créer une nouvelle autorisation gérée par le client. Notez l'ARN de l'autorisation gérée par le client, puis créez le partage de ressources. Pour plus d'informations, consultez Créer une autorisation gérée par le client.

$ aws ram create-resource-share \ --region us-east-1 \ --name MyLicenseConfigShare \ --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \ --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \ --principals arn:aws:organizations::123456789012:organization/o-1234abcd { "resourceShare": { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543", "name": "MyLicenseConfigShare", "owningAccountId": "123456789012", "allowExternalPrincipals": true, "status": "ACTIVE", "creationTime": "2021-09-14T20:42:40.266000-07:00", "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00" } }