Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Condivisione delle AWS risorse
Per condividere una risorsa di tua proprietà utilizzando AWS RAM, procedi come segue:
Note
-
La Account AWS condivisione di una risorsa con responsabili esterni al proprietario della risorsa non modifica le autorizzazioni o le quote applicabili alla risorsa all'interno dell'account che l'ha creata.
-
AWS RAM è un servizio regionale. I principali con cui condividi possono accedere alle condivisioni di risorse solo nelle aree Regioni AWS in cui sono state create.
-
Alcune risorse prevedono considerazioni e prerequisiti speciali per la condivisione. Per ulteriori informazioni, consulta Risorse condivisibili AWS.
Abilita la condivisione delle risorse all'interno AWS Organizations
Quando il tuo account è gestito da AWS Organizations, puoi trarne vantaggio per condividere le risorse più facilmente. Con o senza Organizations, un utente può condividere con account individuali. Tuttavia, se l'account si trova in un'organizzazione, è possibile condividerlo con singoli account o con tutti gli account dell'organizzazione o di un'unità organizzativa senza dover enumerare ogni account.
Per condividere le risorse all'interno di un'organizzazione, devi prima utilizzare la AWS RAM console o AWS Command Line Interface (AWS CLI) per abilitare la condivisione con. AWS Organizations Quando condividi risorse all'interno dell'organizzazione, AWS RAM non invia inviti ai dirigenti. I responsabili della tua organizzazione hanno accesso a risorse condivise senza scambiarsi inviti.
Quando abiliti la condivisione delle risorse all'interno dell'organizzazione, AWS RAM crea un ruolo collegato al servizio chiamato. AWSServiceRoleForResourceAccessManager
Questo ruolo può essere assunto solo dal AWS RAM servizio e concede l' AWS RAM autorizzazione a recuperare informazioni sull'organizzazione di cui è membro, utilizzando la politica gestita. AWS AWSResourceAccessManagerServiceRolePolicy
Se non è più necessario condividere risorse con l'intera organizzazione oppure è possibile disabilitare OUs la condivisione delle risorse. Per ulteriori informazioni, consulta Disabilitazione della condivisione delle risorse con AWS Organizations.
Autorizzazioni minime
Per eseguire le procedure seguenti, devi accedere come responsabile all'account di gestione dell'organizzazione che dispone delle seguenti autorizzazioni:
-
ram:EnableSharingWithAwsOrganization
-
iam:CreateServiceLinkedRole
-
organizations:enableAWSServiceAccess
-
organizations:DescribeOrganization
Requisiti
-
È possibile eseguire questi passaggi solo dopo aver effettuato l'accesso come responsabile nell'account di gestione dell'organizzazione.
-
L'organizzazione deve avere tutte le funzionalità abilitate. Per ulteriori informazioni, vedere Abilitazione di tutte le funzionalità dell'organizzazione nella Guida per l'AWS Organizations utente.
Importante
È necessario abilitare la condivisione con AWS Organizations utilizzando la AWS RAM console o il AWS CLI comando enable-sharing-with-aws-organization. Ciò garantisce la creazione del ruolo collegato ai servizi AWSServiceRoleForResourceAccessManager
. Se abiliti l'accesso affidabile AWS Organizations utilizzando la AWS Organizations console o il enable-aws-service-access AWS CLI comando, il ruolo AWSServiceRoleForResourceAccessManager
collegato al servizio non viene creato e non puoi condividere risorse all'interno dell'organizzazione.
Creare una condivisione di risorse
Per condividere le risorse di tua proprietà, crea una condivisione di risorse. Ecco una panoramica del processo:
-
Aggiungi le risorse che desideri condividere.
-
Per ogni tipo di risorsa che includi nella condivisione, specifica l'autorizzazione gestita da utilizzare per quel tipo di risorsa.
-
Puoi scegliere tra una delle autorizzazioni AWS gestite disponibili, un'autorizzazione gestita dal cliente esistente o creare una nuova autorizzazione gestita dal cliente.
-
AWS le autorizzazioni gestite vengono create AWS per coprire casi d'uso standard.
-
Le autorizzazioni gestite dai clienti ti consentono di personalizzare le tue autorizzazioni gestite per soddisfare le tue esigenze di sicurezza e aziendali.
Nota
Se l'autorizzazione gestita selezionata ha più versioni, allega AWS RAM automaticamente la versione predefinita. È possibile allegare solo la versione designata come predefinita.
-
-
Specificate i principali ai quali desiderate che abbiano accesso alle risorse.
Considerazioni
-
Se in seguito devi eliminare una AWS risorsa inclusa in una condivisione, ti consigliamo di rimuovere prima la risorsa da qualsiasi condivisione di risorse che la include oppure di eliminare la condivisione di risorse.
-
I tipi di risorse che puoi includere in una condivisione di risorse sono elencati inRisorse condivisibili AWS.
-
Puoi condividere una risorsa solo se la possiedi. Non puoi condividere una risorsa condivisa con te.
-
AWS RAM è un servizio regionale. Quando condividi una risorsa con i responsabili di altri Account AWS, tali principali devono accedere a ciascuna risorsa dalla stessa in Regione AWS cui è stata creata. Per le risorse globali supportate, puoi accedere a tali risorse da qualsiasi Regione AWS risorsa supportata dalla console di servizio e dagli strumenti di quella risorsa. È possibile visualizzare tali condivisioni di risorse e le relative risorse globali nella AWS RAM console e negli strumenti solo nella regione di origine designata, Stati Uniti orientali (Virginia settentrionale),
us-east-1
. Per ulteriori informazioni AWS RAM e risorse globali, vedereCondivisione delle risorse regionali rispetto alle risorse globali. -
Se l'account da cui condividi fa parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, a tutti i responsabili dell'organizzazione con cui condividi viene automaticamente concesso l'accesso alle condivisioni di risorse senza l'uso di inviti. Un responsabile di un account con cui condividi qualcosa al di fuori del contesto di un'organizzazione riceve un invito a partecipare alla condivisione di risorse e gli viene concesso l'accesso alle risorse condivise solo dopo aver accettato l'invito.
Se condividi con un responsabile del servizio, non puoi associare nessun altro responsabile alla condivisione delle risorse.
-
Se la condivisione avviene tra account o responsabili che fanno parte di un'organizzazione, qualsiasi modifica all'appartenenza all'organizzazione influirà dinamicamente sull'accesso alla condivisione delle risorse.
-
Se ne aggiungi un'altra Account AWS all'organizzazione o a un'unità organizzativa che ha accesso a una condivisione di risorse, il nuovo account membro ottiene automaticamente l'accesso alla condivisione di risorse. L'amministratore dell'account con cui hai condiviso l'account può quindi concedere ai singoli responsabili di quell'account l'accesso alle risorse di quella condivisione.
-
Se rimuovi un account dall'organizzazione o da un'unità organizzativa che ha accesso a una condivisione di risorse, tutti i responsabili di quell'account perderanno automaticamente l'accesso alle risorse a cui si accedeva tramite quella condivisione di risorse.
-
Se hai condiviso direttamente con un account membro o con IAM ruoli o utenti dell'account membro e poi rimuovi tale account dall'organizzazione, tutti i responsabili di quell'account perderanno l'accesso alle risorse a cui accedeva tramite quella condivisione di risorse.
Importante
Quando condividi con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Questo perché la politica basata sulle risorse associata a ciascuna risorsa AWS RAM della condivisione utilizza.
"Principal": "*"
Per ulteriori informazioni, consulta Implicazioni dell'uso"Principal": "*"in politica basata sulle risorse.I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono consentire
Allow
l'accesso alle singole risorse ARNs della condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse. -
-
Puoi aggiungere solo l'organizzazione di cui è membro l'account e quella OUs proveniente da tale organizzazione alle tue condivisioni di risorse. Non puoi aggiungere OUs organizzazioni esterne alla tua organizzazione a una condivisione di risorse come responsabili. Tuttavia, è possibile aggiungere IAM ruoli e utenti singoli Account AWS o, per i servizi supportati, esterni all'organizzazione come responsabili a una condivisione di risorse.
Nota
Non tutti i tipi di risorse possono essere condivisi con IAM ruoli e utenti. Per informazioni sulle risorse che puoi condividere con questi responsabili, consultaRisorse condivisibili AWS.
Per i seguenti tipi di risorse hai sette giorni di tempo per accettare l'invito a partecipare alla condivisione per i seguenti tipi di risorse. Se non accetti l'invito prima della scadenza, l'invito viene automaticamente rifiutato.
Importante
Per i tipi di risorse condivise non presenti nell'elenco seguente, hai 12 ore per accettare l'invito a partecipare alla condivisione di risorse. Dopo 12 ore, l'invito scade e l'utente principale incluso nella condivisione delle risorse viene dissociato. L'invito non può più essere accettato dagli utenti finali.
-
Amazon Aurora — cluster DB
-
AmazonEC2: prenotazioni di capacità e host dedicati
-
AWS License Manager — Configurazioni delle licenze
-
AWS Outposts — Tabelle di routing, avamposti e siti dei gateway locali
-
Amazon Route 53 — Regole di inoltro
-
AmazonVPC: IPv4 indirizzi di proprietà del cliente, elenchi di prefissi, sottoreti, target Traffic Mirror, gateway di transito, domini multicast con gateway di transito
-