Perbarui pembagian sumber daya di AWS RAM - AWS Resource Access Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perbarui pembagian sumber daya di AWS RAM

Anda dapat memperbarui pembagian sumber daya AWS RAM kapan saja dengan cara berikut:

  • Anda dapat menambahkan prinsipal, sumber daya, atau tag ke berbagi sumber daya yang Anda buat.

  • Untuk jenis sumber daya yang mendukung lebih dari izin AWS terkelola default, Anda dapat memilih izin terkelola mana yang berlaku untuk sumber daya dari setiap jenis.

  • Jika izin terkelola yang dilampirkan ke pembagian sumber daya memiliki versi default baru, Anda dapat memperbarui izin terkelola untuk menggunakan versi baru.

  • Anda dapat mencabut akses ke sumber daya bersama dengan menghapus prinsipal atau sumber daya dari pembagian sumber daya. Jika Anda mencabut akses, kepala sekolah tidak lagi memiliki akses ke sumber daya bersama.

catatan

Prinsipal dengan siapa Anda berbagi sumber daya dapat meninggalkan bagian sumber daya Anda jika berbagi kosong atau hanya berisi jenis sumber daya yang mendukung meninggalkan pembagian sumber daya. Jika pembagian sumber daya berisi jenis sumber daya yang tidak mendukung keberangkatan, pesan akan muncul untuk memberi tahu kepala sekolah bahwa mereka harus menghubungi pemilik berbagi. Dalam hal ini, Anda, sebagai pemilik pembagian sumber daya, harus menghapus prinsipal dari pembagian sumber daya Anda. Untuk daftar jenis sumber daya yang tidak mendukung tindakan ini, lihatPrasyarat untuk meninggalkan pembagian sumber daya.

Console
Untuk memperbarui pembagian sumber daya

  1. Arahkan ke halaman Shared by me: Resource share di AWS RAM konsol.

  2. Karena pembagian AWS RAM sumber daya ada secara spesifik Wilayah AWS, pilih yang sesuai Wilayah AWS dari daftar tarik-turun di sudut kanan atas konsol. Untuk melihat pembagian sumber daya yang berisi sumber daya global, Anda harus mengatur Wilayah AWS ke US East (Virginia N.), (us-east-1). Untuk informasi selengkapnya tentang berbagi sumber daya global, lihatBerbagi sumber daya Regional dibandingkan dengan sumber daya global.

  3. Pilih pembagian sumber daya dan kemudian pilih Ubah.

  4. Pada Langkah 1: Tentukan detail berbagi sumber daya, tinjau detail berbagi sumber daya, dan jika diperlukan, perbarui salah satu dari berikut ini:

    1. (Opsional) Untuk mengubah nama pembagian sumber daya, edit Nama.

    2. (Opsional) Untuk menambahkan sumber daya ke pembagian sumber daya, di bawah Sumber daya, pilih jenis sumber daya, lalu pilih kotak centang di sebelah sumber daya untuk menambahkannya ke pembagian sumber daya. Sumber daya global hanya muncul jika Anda menyetel Wilayah ke AS Timur (Virginia N.), (us-east-1) di AWS Management Console.

    3. (Opsional) Untuk menghapus sumber daya dari pembagian sumber daya, cari sumber daya di bawah Sumber daya yang dipilih, lalu pilih X di sebelah ID sumber daya.

    4. (Opsional) Untuk menambahkan tag ke pembagian sumber daya, di bawah Tag, masukkan kunci tag dan nilai di kotak teks kosong. Untuk menambahkan lebih dari satu kunci tag dan pasangan nilai, pilih Tambahkan tag baru. Anda dapat menambahkan hingga 50 tanda.

    5. Untuk menghapus tag dari berbagi sumber daya, di bawah Tag, cari tag dan pilih Hapus di sebelahnya.

  5. Pilih Berikutnya.

  6. (Opsional) Pada Langkah 2: Mengaitkan izin terkelola dengan setiap jenis sumber daya, Anda dapat memilih untuk mengaitkan izin terkelola yang dibuat AWS dengan jenis sumber daya, memilih izin terkelola pelanggan yang ada, atau Anda dapat membuat izin terkelola pelanggan Anda sendiri. Untuk informasi selengkapnya, lihat Jenis izin terkelola.

    Anda juga dapat memilih Buat izin terkelola pelanggan untuk membuat izin terkelola pelanggan yang memenuhi persyaratan kasus penggunaan berbagi Anda. Untuk informasi selengkapnya, lihat Membuat izin terkelola pelanggan. Setelah menyelesaikan proses, pilih Refresh icon , lalu Anda dapat memilih izin terkelola pelanggan baru Anda dari daftar tarik-turun izin terkelola.

    Untuk menampilkan tindakan yang diizinkan izin terkelola, perluas Lihat templat kebijakan untuk izin terkelola ini.

  7. Jika versi izin terkelola yang saat ini ditetapkan ke pembagian sumber daya bukan versi default saat ini, maka Anda dapat memperbarui ke versi default dengan memilih Perbarui ke versi default.

    catatan

    Sampai Anda menyimpan perubahan ke pembagian sumber daya setelah langkah terakhir, Anda dapat membatalkan pembaruan versi dengan memilih Kembalikan ke versi sebelumnya. Namun, untuk izin AWS terkelola, setelah Anda menyimpan pembagian sumber daya, perubahan bersifat final dan Anda tidak dapat lagi kembali ke versi sebelumnya.

  8. Pilih Berikutnya.

  9. Pada Langkah 3: Pilih prinsipal yang diizinkan untuk mengakses, tinjau prinsip yang dipilih, dan jika diperlukan, perbarui salah satu dari berikut ini:

    1. (Opsional) Untuk mengubah apakah berbagi diaktifkan dengan prinsipal di dalam atau di luar organisasi Anda, pilih salah satu opsi berikut:

      • Untuk berbagi sumber daya dengan Akun AWS atau IAM peran individu atau pengguna yang berada di luar organisasi Anda, pilih Izinkan berbagi dengan kepala sekolah eksternal.

      • Untuk membatasi berbagi sumber daya hanya pada prinsipal di organisasi Anda AWS Organizations, pilih Izinkan berbagi dengan kepala sekolah di organisasi Anda saja.

    2. Untuk Kepala Sekolah, lakukan hal berikut:

      • (Opsional) Untuk menambahkan organisasi, unit organisasi (OU), atau anggota Akun AWS di dalam organisasi Anda, aktifkan Tampilkan struktur organisasi untuk menampilkan tampilan pohon organisasi Anda. Kemudian pilih kotak centang di sebelah setiap prinsipal yang ingin Anda tambahkan.

        penting

        Ketika Anda berbagi dengan organisasi atau OU, dan ruang lingkup tersebut mencakup akun yang memiliki pembagian sumber daya, semua kepala sekolah di akun berbagi secara otomatis mendapatkan akses ke sumber daya dalam pembagian. Akses yang diberikan ditentukan oleh izin terkelola yang terkait dengan pembagian. Ini karena kebijakan berbasis sumber daya yang AWS RAM melekat pada setiap sumber daya dalam penggunaan berbagi. "Principal": "*" Untuk informasi selengkapnya, lihat Implikasi penggunaan "Principal": "*" dalam kebijakan berbasis sumber daya.

        Prinsipal di akun konsumsi lainnya tidak segera mendapatkan akses ke sumber daya saham. Administrator akun lain harus terlebih dahulu melampirkan kebijakan izin berbasis identitas ke kepala sekolah yang sesuai. Kebijakan tersebut harus memberikan Allow akses ke sumber ARNs daya individu dalam pembagian sumber daya. Izin dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang terkait dengan pembagian sumber daya.

        catatan

        Sakelar struktur organisasi tampilan hanya muncul jika berbagi dengan AWS Organizations diaktifkan dan Anda masuk sebagai prinsipal di akun manajemen organisasi.

        Anda tidak dapat menggunakan metode ini untuk menentukan Akun AWS di luar organisasi Anda, atau IAM peran atau pengguna. Sebagai gantinya, Anda harus menambahkan prinsipal ini dengan memasukkan pengenalnya, yang ditampilkan di kotak teks di bawah sakelar struktur organisasi Tampilan. Lihat bullet point berikutnya.

      • (Opsional) Untuk menambahkan prinsipal dengan pengenalnya, pilih jenis utama dari daftar dropdown, lalu masukkan ID atau ARN untuk prinsipal. Terakhir, pilih Tambah.

        Jika Anda memilih individu Akun AWS, maka hanya akun itu yang dapat mengakses pembagian sumber daya. Anda dapat memilih salah satu dari opsi berikut.

        • Lain Akun AWS (selain pemilik sumber daya) — Membuat sumber daya tersedia untuk akun lain. Administrator akun tersebut harus menyelesaikan proses dengan memberikan akses ke sumber daya bersama menggunakan kebijakan izin berbasis identitas untuk peran individu dan pengguna. Izin tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang dilampirkan pada pembagian sumber daya.

        • Ini Akun AWS (pemilik sumber daya) — Semua peran dan pengguna di akun pemilik sumber daya secara otomatis menerima akses yang ditentukan oleh izin terkelola yang dilampirkan pada pembagian sumber daya.

      • Penambahan segera muncul di daftar Prinsipal yang dipilih.

        Anda kemudian dapat menambahkan akun tambahanOUs, atau organisasi Anda dengan mengulangi langkah ini.

      • (Opsional) Untuk menghapus prinsipal, temukan di bawah Prinsipal yang dipilih, pilih kotak centang, lalu pilih Batalkan pilihan.

  10. Pilih Berikutnya.

  11. Pada Langkah 4: Tinjau dan perbarui, tinjau detail konfigurasi untuk berbagi sumber daya Anda.

  12. Untuk mengubah konfigurasi untuk langkah apa pun, pilih tautan yang sesuai dengan langkah yang ingin Anda kembalikan, lalu buat perubahan yang diperlukan.

    Jika ada izin terkelola yang masih menggunakan versi selain default, Anda memiliki kesempatan lain untuk mengatasinya dengan memilih Perbarui ke versi default.

  13. Pilih Perbarui berbagi sumber daya setelah Anda selesai membuat perubahan.

AWS CLI
Untuk memperbarui pembagian sumber daya

Anda dapat menggunakan AWS CLI perintah berikut untuk memodifikasi pembagian sumber daya:

  • Untuk mengganti nama pembagian sumber daya, atau untuk mengubah apakah prinsipal eksternal diizinkan, gunakan perintah update-resource-share. Contoh berikut mengganti nama berbagi sumber daya yang ditentukan dan menetapkannya untuk mengizinkan hanya prinsipal dari organisasinya. Anda harus menggunakan titik akhir layanan untuk Wilayah AWS yang berisi pembagian sumber daya. 

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • Untuk menambahkan sumber daya ke berbagi sumber daya, gunakan perintah associate-resource-share. Contoh berikut menambahkan subnet untuk berbagi sumber daya tertentu.

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • Untuk menambah atau mengganti izin terkelola untuk jenis sumber daya dalam pembagian sumber daya, gunakan perintah list-permissions dan associate-resource-share-permission. Anda hanya dapat menetapkan satu izin terkelola per jenis sumber daya dalam pembagian sumber daya. Jika Anda mencoba menambahkan izin terkelola ke jenis sumber daya yang sudah memiliki izin terkelola, Anda harus menyertakan --replace opsi atau perintah gagal dengan kesalahan.

    Contoh perintah berikut mencantumkan izin terkelola yang tersedia ARNs untuk subnet Amazon Elastic Compute Cloud EC2 (Amazon), lalu menggunakan salah satu izin tersebut ARNs untuk mengganti izin AWS terkelola yang saat ini ditetapkan untuk jenis sumber daya tersebut dalam pembagian sumber daya yang ditentukan. 

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • Untuk menghapus sumber daya dari berbagi sumber daya, gunakan perintah disassociate-resource-share. Contoh berikut menghapus EC2 subnet Amazon dengan yang ditentukan ARN dari berbagi sumber daya yang ditentukan.

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • Untuk memodifikasi tag yang dilampirkan ke pembagian sumber daya, gunakan perintah tag-resource dan untag-resource. Contoh berikut menambahkan tag project=lima untuk berbagi sumber daya tertentu.

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    Contoh berikut menghapus tag dengan kunci project dari berbagi sumber daya tertentu.

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    Perintah penandaan tidak menghasilkan output saat berhasil.