Berbagi AWS sumber daya Anda - AWS Resource Access Manager
Aktifkan berbagi sumber daya dalam AWS OrganizationsBuat berbagi sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berbagi AWS sumber daya Anda

Untuk berbagi sumber daya yang Anda miliki dengan menggunakanAWS RAM, lakukan hal berikut:

Catatan

  • Berbagi sumber daya dengan prinsipal di luar Akun AWS yang memiliki sumber daya tidak mengubah izin atau kuota yang berlaku untuk sumber daya dalam akun yang membuatnya.

  • AWS RAMadalah layanan regional. Prinsipal yang Anda bagikan dapat mengakses pembagian sumber daya hanya Wilayah AWS di mana mereka dibuat.

  • Beberapa sumber daya memiliki pertimbangan dan prasyarat khusus untuk berbagi. Untuk informasi selengkapnya, lihat Sumber daya yang dapat dibagikan AWS.

Aktifkan berbagi sumber daya dalam AWS Organizations

Ketika akun Anda dikelola olehAWS Organizations, Anda dapat memanfaatkannya untuk berbagi sumber daya dengan lebih mudah. Dengan atau tanpa Organizations, pengguna dapat berbagi dengan akun individu. Namun, jika akun Anda berada dalam suatu organisasi, maka Anda dapat berbagi dengan akun individual, atau dengan semua akun di organisasi atau di OU tanpa harus menghitung setiap akun.

Untuk berbagi sumber daya dalam organisasi, Anda harus terlebih dahulu menggunakan AWS RAM konsol atau AWS Command Line Interface (AWS CLI) untuk mengaktifkan berbagi denganAWS Organizations. Ketika Anda berbagi sumber daya di organisasi Anda, AWS RAM tidak mengirim undangan ke kepala sekolah. Prinsipal di organisasi Anda mendapatkan akses ke sumber daya bersama tanpa bertukar undangan.

Saat Anda mengaktifkan berbagi sumber daya dalam organisasi Anda, AWS RAM buat peran terkait layanan yang disebut. AWSServiceRoleForResourceAccessManager Peran ini hanya dapat diasumsikan oleh AWS RAM layanan, dan memberikan AWS RAM izin untuk mengambil informasi tentang organisasi yang menjadi anggotanya, dengan menggunakan kebijakan yang AWS dikelola. AWSResourceAccessManagerServiceRolePolicy

Jika Anda tidak perlu lagi berbagi sumber daya dengan seluruh organisasi atau OU, Anda dapat menonaktifkan berbagi sumber daya. Untuk informasi selengkapnya, lihat Menonaktifkan berbagi sumber daya dengan AWS Organizations.

Izin minimum

Untuk menjalankan prosedur di bawah ini, Anda harus masuk sebagai kepala sekolah di akun manajemen organisasi yang memiliki izin berikut:

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

Persyaratan

  • Anda dapat melakukan langkah-langkah ini hanya saat masuk sebagai prinsipal di akun manajemen organisasi.

  • Organisasi harus mengaktifkan semua fitur. Untuk informasi selengkapnya, lihat Mengaktifkan semua fitur di organisasi Anda di Panduan AWS Organizations Pengguna.

penting

Anda harus mengaktifkan berbagi AWS Organizations dengan menggunakan AWS RAM konsol atau AWS CLI perintah enable-sharing-with-aws-organization. Ini memastikan bahwa peran AWSServiceRoleForResourceAccessManager terkait layanan dibuat. Jika Anda mengaktifkan akses tepercaya AWS Organizations dengan menggunakan AWS Organizations konsol atau enable-aws-service-accessAWS CLIperintah, peran AWSServiceRoleForResourceAccessManager terkait layanan tidak dibuat, dan Anda tidak dapat berbagi sumber daya dalam organisasi Anda.

Console
Untuk mengaktifkan berbagi sumber daya dalam organisasi Anda

  1. Buka halaman Pengaturan di AWS RAM konsol.

  2. Pilih Aktifkan berbagi dengan AWS Organizations, lalu pilih Simpan pengaturan.

AWS CLI
Untuk mengaktifkan berbagi sumber daya dalam organisasi Anda

Gunakan perintah enable-sharing-with-aws-organization.

Perintah ini dapat digunakan di mana sajaWilayah AWS, dan memungkinkan berbagi dengan AWS Organizations di semua Wilayah yang AWS RAM didukung.

$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}

Buat berbagi sumber daya

Untuk berbagi sumber daya yang Anda miliki, buat pembagian sumber daya. Berikut adalah gambaran umum prosesnya:

  1. Tambahkan sumber daya yang ingin Anda bagikan.

  2. Untuk setiap jenis sumber daya yang Anda sertakan dalam share, tentukan izin terkelola yang akan digunakan untuk jenis sumber daya tersebut.

    • Anda dapat memilih dari salah satu izin AWS terkelola yang tersedia, izin terkelola pelanggan yang sudah ada, atau membuat izin terkelola pelanggan baru.

    • AWSizin terkelola dibuat oleh AWS untuk mencakup kasus penggunaan standar.

    • Izin terkelola pelanggan memungkinkan Anda menyesuaikan izin terkelola Anda sendiri untuk memenuhi kebutuhan keamanan dan bisnis Anda.

    catatan

    Jika izin terkelola yang dipilih memiliki beberapa versi, maka AWS RAM secara otomatis melampirkan versi default. Anda hanya dapat melampirkan versi yang ditetapkan sebagai default.

  3. Tentukan prinsip yang ingin Anda akses ke sumber daya.

Pertimbangan-pertimbangan

  • Jika nanti Anda perlu menghapus AWS sumber daya yang Anda sertakan dalam berbagi, sebaiknya Anda menghapus sumber daya dari pembagian sumber daya apa pun yang menyertakannya, atau menghapus pembagian sumber daya.

  • Jenis sumber daya yang dapat Anda sertakan dalam pembagian sumber daya tercantum diSumber daya yang dapat dibagikan AWS.

  • Anda dapat berbagi sumber daya hanya jika Anda memilikinya. Anda tidak dapat berbagi sumber daya yang dibagikan dengan Anda.

  • AWS RAMadalah layanan regional. Saat Anda berbagi sumber daya dengan prinsipal di tempat lainAkun AWS, prinsipal tersebut harus mengakses setiap sumber daya dari sumber daya yang sama Wilayah AWS dengan yang dibuat. Untuk sumber daya global yang didukung, Anda dapat mengakses sumber daya tersebut dari sumber daya apa pun Wilayah AWS yang didukung oleh konsol layanan dan alat sumber daya tersebut. Anda dapat melihat pembagian sumber daya tersebut dan sumber daya globalnya di AWS RAM konsol dan alat hanya di Wilayah asal yang ditunjuk, AS Timur (Virginia N.),us-east-1. Untuk informasi selengkapnya tentang AWS RAM dan sumber daya global, lihatBerbagi sumber daya Regional dibandingkan dengan sumber daya global.

  • Jika akun yang Anda bagikan adalah bagian dari organisasi AWS Organizations dan berbagi dalam organisasi Anda diaktifkan, semua prinsipal di organisasi yang Anda bagikan secara otomatis diberikan akses ke pembagian sumber daya tanpa menggunakan undangan. Seorang kepala sekolah di akun dengan siapa Anda berbagi di luar konteks organisasi menerima undangan untuk bergabung dengan pembagian sumber daya dan diberikan akses ke sumber daya bersama hanya setelah mereka menerima undangan.

  • Jika Anda berbagi dengan kepala layanan, Anda tidak dapat mengaitkan prinsip lain dengan pembagian sumber daya.

  • Jika berbagi antara akun atau kepala sekolah yang merupakan bagian dari organisasi, maka setiap perubahan keanggotaan organisasi secara dinamis memengaruhi akses ke pembagian sumber daya.

    • Jika Anda menambahkan Akun AWS ke organisasi atau OU yang memiliki akses ke pembagian sumber daya, maka akun anggota baru tersebut secara otomatis mendapatkan akses ke pembagian sumber daya. Administrator akun yang Anda bagikan kemudian dapat memberikan kepala sekolah individu di akun tersebut akses ke sumber daya di bagian tersebut.

    • Jika Anda menghapus akun dari organisasi atau OU yang memiliki akses ke pembagian sumber daya, maka setiap prinsipal di akun tersebut secara otomatis kehilangan akses ke sumber daya yang diakses melalui pembagian sumber daya tersebut.

    • Jika Anda berbagi langsung dengan akun anggota atau dengan peran IAM atau pengguna di akun anggota dan kemudian menghapus akun tersebut dari organisasi, maka setiap prinsipal di akun tersebut kehilangan akses ke sumber daya yang diakses melalui pembagian sumber daya tersebut.

    penting

    Ketika Anda berbagi dengan organisasi atau OU, dan cakupan itu mencakup akun yang memiliki pembagian sumber daya, semua kepala sekolah di akun berbagi secara otomatis mendapatkan akses ke sumber daya dalam pembagian. Akses yang diberikan ditentukan oleh izin terkelola yang terkait dengan pembagian. Ini karena kebijakan berbasis sumber daya yang AWS RAM melekat pada setiap sumber daya dalam penggunaan berbagi. "Principal": "*" Untuk informasi selengkapnya, lihat Implikasi penggunaan"Principal": "*"dalam kebijakan berbasis sumber daya.

    Prinsipal di akun konsumsi lainnya tidak segera mendapatkan akses ke sumber daya saham. Administrator akun lain harus terlebih dahulu melampirkan kebijakan izin berbasis identitas ke kepala sekolah yang sesuai. Kebijakan tersebut harus memberikan Allow akses ke ARN sumber daya individu dalam pembagian sumber daya. Izin dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang terkait dengan pembagian sumber daya.

  • Anda hanya dapat menambahkan organisasi yang menjadi anggota akun Anda, dan OU dari organisasi tersebut ke pembagian sumber daya Anda. Anda tidak dapat menambahkan OU atau organisasi dari luar organisasi Anda sendiri ke pembagian sumber daya sebagai prinsipal. Namun, Anda dapat menambahkan individu Akun AWS atau, untuk layanan yang didukung, peran IAM dan pengguna dari luar organisasi Anda sebagai prinsipal untuk berbagi sumber daya.

    catatan

    Tidak semua jenis sumber daya dapat dibagikan dengan peran dan pengguna IAM. Untuk informasi tentang sumber daya yang dapat Anda bagikan dengan prinsipal ini, lihat. Sumber daya yang dapat dibagikan AWS

  • Untuk jenis sumber daya berikut, Anda memiliki waktu tujuh hari untuk menerima undangan untuk bergabung dengan berbagi untuk jenis sumber daya berikut. Jika Anda tidak menerima undangan sebelum kedaluwarsa, undangan secara otomatis ditolak.

    penting

    Untuk jenis sumber daya bersama yang tidak ada dalam daftar berikut, Anda memiliki waktu 12 jam untuk menerima undangan untuk bergabung dengan pembagian sumber daya. Setelah 12 jam, undangan kedaluwarsa dan prinsipal pengguna akhir dalam pembagian sumber daya dipisahkan. Undangan tidak dapat lagi diterima oleh pengguna akhir.

    • Amazon Aurora - kluster DB

    • Amazon EC2 — reservasi kapasitas dan host khusus

    • AWS License Manager- Konfigurasi lisensi

    • AWS Outposts— Tabel rute gateway lokal, pos terdepan, dan situs

    • Amazon Route 53 - Aturan penerusan

    • Amazon VPC - Alamat IPv4 milik pelanggan, daftar awalan, subnet, target cermin lalu lintas, gateway transit, domain multicast gateway transit

Console
Untuk membuat pembagian sumber daya

  1. Buka konsol AWS RAM.

  2. Karena pembagian AWS RAM sumber daya ada secara spesifikWilayah AWS, pilih yang sesuai Wilayah AWS dari daftar tarik-turun di sudut kanan atas konsol. Untuk melihat pembagian sumber daya yang berisi sumber daya global, Anda harus mengatur Wilayah AWS ke US East (Virginia N.), (us-east-1). Untuk informasi selengkapnya tentang berbagi sumber daya global, lihatBerbagi sumber daya Regional dibandingkan dengan sumber daya global. Jika Anda ingin memasukkan sumber daya global dalam pembagian sumber daya, maka Anda harus memilih Wilayah asal yang ditunjuk, AS Timur (Virginia N.),us-east-1.

  3. Jika Anda baruAWS RAM, pilih Buat berbagi sumber daya dari halaman beranda. Jika tidak, pilih Buat berbagi sumber daya dari halaman Dibagikan oleh saya: Berbagi sumber daya.

  4. Pada Langkah 1: Tentukan detail berbagi sumber daya, lakukan hal berikut:

    1. Untuk Nama, masukkan nama deskriptif untuk berbagi sumber daya.

    2. Di bawah Sumber Daya, pilih sumber daya untuk ditambahkan ke pembagian sumber daya sebagai berikut:

      • Untuk Pilih jenis sumber daya, pilih jenis sumber daya yang akan dibagikan. Ini menyaring daftar sumber daya yang dapat dibagikan hanya ke sumber daya dari jenis yang dipilih.

      • Dalam daftar sumber daya yang dihasilkan, pilih kotak centang di sebelah sumber daya individual yang ingin Anda bagikan. Sumber daya yang dipilih bergerak di bawah Sumber daya yang dipilih.

        Jika Anda berbagi sumber daya yang terkait dengan zona ketersediaan tertentu, maka menggunakan ID Zona Ketersediaan (ID AZ) membantu Anda menentukan lokasi relatif sumber daya ini di seluruh akun. Untuk informasi selengkapnya, lihat ID Availability Zone untukAWS sumber daya Anda.

    3. (Opsional) Untuk melampirkan tag ke berbagi sumber daya, di bawah Tag, masukkan kunci tag dan nilai. Tambahkan yang lain dengan memilih Tambahkan tag baru. Ulangi langkah ini sesuai kebutuhan. Tag ini hanya berlaku untuk pembagian sumber daya itu sendiri, bukan untuk sumber daya dalam pembagian sumber daya.

  5. Pilih Selanjutnya.

  6. Pada Langkah 2: Kaitkan izin terkelola dengan setiap jenis sumber daya, Anda dapat memilih untuk mengaitkan izin terkelola yang dibuat AWS dengan jenis sumber daya, memilih izin terkelola pelanggan yang ada, atau Anda dapat membuat izin terkelola pelanggan Anda sendiri untuk jenis sumber daya yang didukung. Untuk informasi selengkapnya, lihat Jenis izin terkelola.

    Pilih Buat izin terkelola pelanggan untuk membuat izin terkelola pelanggan yang memenuhi persyaratan kasus penggunaan berbagi Anda. Untuk informasi selengkapnya, lihat Membuat izin terkelola pelanggan. Setelah menyelesaikan proses, pilih Refresh icon dan kemudian Anda dapat memilih izin terkelola pelanggan baru Anda dari daftar tarik-turun izin terkelola.

    catatan

    Jika izin terkelola yang dipilih memiliki beberapa versi, maka AWS RAM secara otomatis melampirkan versi default. Anda hanya dapat melampirkan versi yang ditetapkan sebagai default.

    Untuk menampilkan tindakan yang diizinkan izin terkelola, perluas Lihat templat kebijakan untuk izin terkelola ini.

  7. Pilih Selanjutnya.

  8. Pada Langkah 3: Berikan akses ke kepala sekolah, lakukan hal berikut:

    1. Secara default, Izinkan berbagi dengan siapa pun dipilih, yang berarti, untuk jenis sumber daya yang mendukungnya, Anda dapat berbagi sumber daya dengan Akun AWS yang berada di luar organisasi Anda. Ini tidak memengaruhi jenis sumber daya yang hanya dapat dibagikan dalam organisasi, seperti subnet Amazon VPC. Anda juga dapat membagikan beberapa jenis sumber daya yang didukung dengan peran dan pengguna IAM.

      Untuk membatasi berbagi sumber daya hanya untuk akun dan kepala sekolah di organisasi Anda, pilih Izinkan berbagi hanya dalam organisasi Anda.

    2. Untuk Kepala Sekolah, lakukan hal berikut:

      • Untuk menambahkan organisasi, unit organisasi (OU), atau Akun AWS yang merupakan bagian dari organisasi, aktifkan Menampilkan struktur organisasi. Ini menampilkan tampilan pohon organisasi Anda. Kemudian, pilih kotak centang di sebelah setiap prinsipal yang ingin Anda tambahkan.

        penting

        Ketika Anda berbagi dengan organisasi atau OU, dan cakupan itu mencakup akun yang memiliki pembagian sumber daya, semua kepala sekolah di akun berbagi secara otomatis mendapatkan akses ke sumber daya dalam pembagian. Akses yang diberikan ditentukan oleh izin terkelola yang terkait dengan pembagian. Ini karena kebijakan berbasis sumber daya yang AWS RAM melekat pada setiap sumber daya dalam penggunaan berbagi. "Principal": "*" Untuk informasi selengkapnya, lihat Implikasi penggunaan"Principal": "*"dalam kebijakan berbasis sumber daya.

        Prinsipal di akun konsumsi lainnya tidak segera mendapatkan akses ke sumber daya saham. Administrator akun lain harus terlebih dahulu melampirkan kebijakan izin berbasis identitas ke kepala sekolah yang sesuai. Kebijakan tersebut harus memberikan Allow akses ke ARN sumber daya individu dalam pembagian sumber daya. Izin dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang terkait dengan pembagian sumber daya.

        • Jika Anda memilih organisasi (ID dimulai dengano-), maka prinsipal Akun AWS di semua organisasi dapat mengakses pembagian sumber daya.

        • Jika Anda memilih OU (ID dimulai denganou-), maka prinsipal Akun AWS di semua OU itu dan OU anaknya dapat mengakses pembagian sumber daya.

        • Jika Anda memilih individuAkun AWS, maka hanya kepala sekolah di akun itu yang dapat mengakses pembagian sumber daya.

        catatan

        Sakelar struktur organisasi tampilan hanya muncul jika berbagi dengan AWS Organizations diaktifkan dan Anda masuk ke akun manajemen untuk organisasi.

        Anda tidak dapat menggunakan metode ini untuk menentukan Akun AWS di luar organisasi Anda, atau peran IAM atau pengguna. Sebagai gantinya, Anda harus menonaktifkan Menampilkan struktur organisasi dan menggunakan daftar drop-down dan kotak teks untuk memasukkan ID atau ARN.

      • Untuk menentukan prinsipal berdasarkan ID atau ARN, termasuk kepala sekolah yang berada di luar organisasi, maka untuk setiap prinsipal, pilih jenis utama. Selanjutnya, masukkan ID (untukAkun AWS, organisasi, atau OU) atau ARN (untuk peran IAM atau pengguna), lalu pilih Tambah. Jenis utama yang tersedia dan format ID dan ARN adalah sebagai berikut:

        • Akun AWS— Untuk menambahkanAkun AWS, masukkan ID akun 12 digit. Misalnya:

          123456789012

        • Organisasi — Untuk menambahkan semua yang Akun AWS ada di organisasi Anda, masukkan ID organisasi. Misalnya:

          o-abcd1234

        • Unit organisasi (OU) - Untuk menambahkan OU, masukkan ID OU. Misalnya:

          ou-abcd-1234efgh

        • Peran IAM — Untuk menambahkan peran IAM, masukkan ARN peran tersebut. Gunakan sintaks berikut:

          arn:partition:iam::account:role/role-name

          Misalnya:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          catatan

          Untuk mendapatkan ARN unik untuk peran IAM, lihat daftar peran di konsol IAM, gunakan perintah get-role AWS CLI atau tindakan API. GetRole

        • Pengguna IAM — Untuk menambahkan pengguna IAM, masukkan ARN pengguna. Gunakan sintaks berikut:

          arn:partition:iam::account:user/user-name

          Misalnya:

          arn:aws:iam::123456789012:user/bob

          catatan

          Untuk mendapatkan ARN unik untuk pengguna IAM, lihat daftar pengguna di konsol IAM, gunakan get-userAWS CLIperintah, atau tindakan API. GetUser

      • Prinsipal layanan — Untuk menambahkan prinsipal layanan, pilih Prinsipal layanan dari dropbox tipe utama Pilih. Masukkan nama kepala AWS layanan. Gunakan sintaks berikut:

        • service-id.amazonaws.com

          Misalnya:

          pca-connector-ad.amazonaws.com

    3. Untuk Prinsipal yang dipilih, verifikasi bahwa prinsipal yang Anda tentukan muncul dalam daftar.

  9. Pilih Selanjutnya.

  10. Pada Langkah 4: Tinjau dan buat, tinjau detail konfigurasi untuk berbagi sumber daya Anda. Untuk mengubah konfigurasi untuk langkah apa pun, pilih tautan yang sesuai dengan langkah yang ingin Anda kembalikan dan buat perubahan yang diperlukan.

  11. Setelah Anda selesai meninjau pembagian sumber daya, pilih Buat berbagi sumber daya.

    Diperlukan beberapa menit untuk menyelesaikan sumber daya dan asosiasi utama. Izinkan proses ini selesai sebelum Anda mencoba menggunakan pembagian sumber daya.

  12. Anda dapat menambahkan dan menghapus sumber daya dan prinsipal atau menerapkan tag khusus ke pembagian sumber daya Anda kapan saja. Anda dapat mengubah izin terkelola untuk jenis sumber daya yang disertakan dalam pembagian sumber daya, untuk jenis yang mendukung lebih dari izin terkelola default. Anda dapat menghapus pembagian sumber daya ketika Anda tidak lagi ingin berbagi sumber daya. Untuk informasi selengkapnya, lihat BagikanAWS sumber daya yang dimiliki oleh Anda.

AWS CLI
Untuk membuat pembagian sumber daya

Gunakan perintah create-resource-share. Perintah berikut membuat pembagian sumber daya yang dibagikan dengan semua yang Akun AWS ada di organisasi. Share berisi konfigurasi AWS License Manager lisensi, dan memberikan izin terkelola default untuk jenis sumber daya tersebut.

catatan

Jika Anda ingin menggunakan izin terkelola pelanggan dengan jenis sumber daya dalam pembagian sumber daya ini, Anda dapat menggunakan izin terkelola pelanggan yang sudah ada atau membuat izin terkelola pelanggan baru. Catat ARN untuk izin yang dikelola pelanggan, dan kemudian buat pembagian sumber daya. Untuk informasi selengkapnya, lihat Membuat izin terkelola pelanggan.

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}