Condivisione delle AWS risorse - AWS Resource Access Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condivisione delle AWS risorse

Per condividere una risorsa di tua proprietà utilizzando AWS RAM, procedi come segue:

Note
  • La Account AWS condivisione di una risorsa con responsabili esterni al proprietario della risorsa non modifica le autorizzazioni o le quote applicabili alla risorsa all'interno dell'account che l'ha creata.

  • AWS RAM è un servizio regionale. I principali con cui condividi possono accedere alle condivisioni di risorse solo nelle aree Regioni AWS in cui sono state create.

  • Alcune risorse prevedono considerazioni e prerequisiti speciali per la condivisione. Per ulteriori informazioni, consulta Risorse condivisibili AWS.

Abilita la condivisione delle risorse all'interno AWS Organizations

Quando il tuo account è gestito da AWS Organizations, puoi trarne vantaggio per condividere le risorse più facilmente. Con o senza Organizations, un utente può condividere con account individuali. Tuttavia, se l'account si trova in un'organizzazione, è possibile condividerlo con singoli account o con tutti gli account dell'organizzazione o di un'unità organizzativa senza dover enumerare ogni account.

Per condividere le risorse all'interno di un'organizzazione, devi prima utilizzare la AWS RAM console o AWS Command Line Interface (AWS CLI) per abilitare la condivisione con. AWS Organizations Quando condividi risorse all'interno dell'organizzazione, AWS RAM non invia inviti ai dirigenti. I responsabili della tua organizzazione hanno accesso a risorse condivise senza scambiarsi inviti.

Quando abiliti la condivisione delle risorse all'interno dell'organizzazione, AWS RAM crea un ruolo collegato al servizio chiamato. AWSServiceRoleForResourceAccessManager Questo ruolo può essere assunto solo dal AWS RAM servizio e concede l' AWS RAM autorizzazione a recuperare informazioni sull'organizzazione di cui è membro, utilizzando la politica gestita. AWS AWSResourceAccessManagerServiceRolePolicy

Se non è più necessario condividere risorse con l'intera organizzazione oppure è possibile disabilitare OUs la condivisione delle risorse. Per ulteriori informazioni, consulta Disabilitazione della condivisione delle risorse con AWS Organizations.

Autorizzazioni minime

Per eseguire le procedure seguenti, devi accedere come responsabile all'account di gestione dell'organizzazione che dispone delle seguenti autorizzazioni:

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

Requisiti
  • È possibile eseguire questi passaggi solo dopo aver effettuato l'accesso come responsabile nell'account di gestione dell'organizzazione.

  • L'organizzazione deve avere tutte le funzionalità abilitate. Per ulteriori informazioni, vedere Abilitazione di tutte le funzionalità dell'organizzazione nella Guida per l'AWS Organizations utente.

Importante

È necessario abilitare la condivisione con AWS Organizations utilizzando la AWS RAM console o il AWS CLI comando enable-sharing-with-aws-organization. Ciò garantisce la creazione del ruolo collegato ai servizi AWSServiceRoleForResourceAccessManager. Se abiliti l'accesso affidabile AWS Organizations utilizzando la AWS Organizations console o il enable-aws-service-access AWS CLI comando, il ruolo AWSServiceRoleForResourceAccessManager collegato al servizio non viene creato e non puoi condividere risorse all'interno dell'organizzazione.

Console
Per abilitare la condivisione delle risorse all'interno dell'organizzazione
  1. Apri la pagina Impostazioni nella AWS RAM console.

  2. Scegli Abilita condivisione con AWS Organizations, quindi scegli Salva impostazioni.

AWS CLI
Per abilitare la condivisione delle risorse all'interno dell'organizzazione

Utilizzate il comando enable-sharing-with-aws-organization.

Questo comando può essere utilizzato in qualsiasi Regione AWS ambiente e consente la condivisione AWS Organizations in tutte le regioni in cui AWS RAM è supportato.

$ aws ram enable-sharing-with-aws-organization { "returnValue": true }

Creare una condivisione di risorse

Per condividere le risorse di tua proprietà, crea una condivisione di risorse. Ecco una panoramica del processo:

  1. Aggiungi le risorse che desideri condividere.

  2. Per ogni tipo di risorsa che includi nella condivisione, specifica l'autorizzazione gestita da utilizzare per quel tipo di risorsa.

    • Puoi scegliere tra una delle autorizzazioni AWS gestite disponibili, un'autorizzazione gestita dal cliente esistente o creare una nuova autorizzazione gestita dal cliente.

    • AWS le autorizzazioni gestite vengono create AWS per coprire casi d'uso standard.

    • Le autorizzazioni gestite dai clienti ti consentono di personalizzare le tue autorizzazioni gestite per soddisfare le tue esigenze di sicurezza e aziendali.

    Nota

    Se l'autorizzazione gestita selezionata ha più versioni, allega AWS RAM automaticamente la versione predefinita. È possibile allegare solo la versione designata come predefinita.

  3. Specificate i principali ai quali desiderate che abbiano accesso alle risorse.

Considerazioni
  • Se in seguito devi eliminare una AWS risorsa inclusa in una condivisione, ti consigliamo di rimuovere prima la risorsa da qualsiasi condivisione di risorse che la include oppure di eliminare la condivisione di risorse.

  • I tipi di risorse che puoi includere in una condivisione di risorse sono elencati inRisorse condivisibili AWS.

  • Puoi condividere una risorsa solo se la possiedi. Non puoi condividere una risorsa condivisa con te.

  • AWS RAM è un servizio regionale. Quando condividi una risorsa con i responsabili di altri Account AWS, tali principali devono accedere a ciascuna risorsa dalla stessa in Regione AWS cui è stata creata. Per le risorse globali supportate, puoi accedere a tali risorse da qualsiasi Regione AWS risorsa supportata dalla console di servizio e dagli strumenti di quella risorsa. È possibile visualizzare tali condivisioni di risorse e le relative risorse globali nella AWS RAM console e negli strumenti solo nella regione di origine designata, Stati Uniti orientali (Virginia settentrionale),us-east-1. Per ulteriori informazioni AWS RAM e risorse globali, vedereCondivisione delle risorse regionali rispetto alle risorse globali.

  • Se l'account da cui condividi fa parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, a tutti i responsabili dell'organizzazione con cui condividi viene automaticamente concesso l'accesso alle condivisioni di risorse senza l'uso di inviti. Un responsabile di un account con cui condividi qualcosa al di fuori del contesto di un'organizzazione riceve un invito a partecipare alla condivisione di risorse e gli viene concesso l'accesso alle risorse condivise solo dopo aver accettato l'invito.

  • Se condividi con un responsabile del servizio, non puoi associare nessun altro responsabile alla condivisione delle risorse.

  • Se la condivisione avviene tra account o responsabili che fanno parte di un'organizzazione, qualsiasi modifica all'appartenenza all'organizzazione influirà dinamicamente sull'accesso alla condivisione delle risorse.

    • Se ne aggiungi un'altra Account AWS all'organizzazione o a un'unità organizzativa che ha accesso a una condivisione di risorse, il nuovo account membro ottiene automaticamente l'accesso alla condivisione di risorse. L'amministratore dell'account con cui hai condiviso l'account può quindi concedere ai singoli responsabili di quell'account l'accesso alle risorse di quella condivisione.

    • Se rimuovi un account dall'organizzazione o da un'unità organizzativa che ha accesso a una condivisione di risorse, tutti i responsabili di quell'account perderanno automaticamente l'accesso alle risorse a cui si accedeva tramite quella condivisione di risorse.

    • Se hai condiviso direttamente con un account membro o con IAM ruoli o utenti dell'account membro e poi rimuovi tale account dall'organizzazione, tutti i responsabili di quell'account perderanno l'accesso alle risorse a cui accedeva tramite quella condivisione di risorse.

    Importante

    Quando condividi con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Questo perché la politica basata sulle risorse associata a ciascuna risorsa AWS RAM della condivisione utilizza. "Principal": "*" Per ulteriori informazioni, consulta Implicazioni dell'uso"Principal": "*"in politica basata sulle risorse.

    I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono consentire Allow l'accesso alle singole risorse ARNs della condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.

  • Puoi aggiungere solo l'organizzazione di cui è membro l'account e quella OUs proveniente da tale organizzazione alle tue condivisioni di risorse. Non puoi aggiungere OUs organizzazioni esterne alla tua organizzazione a una condivisione di risorse come responsabili. Tuttavia, è possibile aggiungere IAM ruoli e utenti singoli Account AWS o, per i servizi supportati, esterni all'organizzazione come responsabili a una condivisione di risorse.

    Nota

    Non tutti i tipi di risorse possono essere condivisi con IAM ruoli e utenti. Per informazioni sulle risorse che puoi condividere con questi responsabili, consultaRisorse condivisibili AWS.

  • Per i seguenti tipi di risorse hai sette giorni di tempo per accettare l'invito a partecipare alla condivisione per i seguenti tipi di risorse. Se non accetti l'invito prima della scadenza, l'invito viene automaticamente rifiutato.

    Importante

    Per i tipi di risorse condivise non presenti nell'elenco seguente, hai 12 ore per accettare l'invito a partecipare alla condivisione di risorse. Dopo 12 ore, l'invito scade e l'utente principale incluso nella condivisione delle risorse viene dissociato. L'invito non può più essere accettato dagli utenti finali.

    • Amazon Aurora — cluster DB

    • AmazonEC2: prenotazioni di capacità e host dedicati

    • AWS License Manager — Configurazioni delle licenze

    • AWS Outposts — Tabelle di routing, avamposti e siti dei gateway locali

    • Amazon Route 53 — Regole di inoltro

    • AmazonVPC: IPv4 indirizzi di proprietà del cliente, elenchi di prefissi, sottoreti, target Traffic Mirror, gateway di transito, domini multicast con gateway di transito

Console
Per creare una condivisione di risorse
  1. Apri la AWS RAM console.

  2. Poiché le condivisioni di AWS RAM risorse esistono in modo specifico Regioni AWS, scegli quella appropriata Regione AWS dall'elenco a discesa nell'angolo in alto a destra della console. Per visualizzare le condivisioni di risorse che contengono risorse globali, è necessario impostarle su Stati Uniti orientali (Virginia settentrionale), (). Regione AWS us-east-1 Per ulteriori informazioni sulla condivisione di risorse globali, consultaCondivisione delle risorse regionali rispetto alle risorse globali. Se desideri includere risorse globali nella condivisione delle risorse, devi scegliere la regione di origine designata, Stati Uniti orientali (Virginia settentrionale),us-east-1.

  3. Se sei nuovo AWS RAM, scegli Crea una condivisione di risorse dalla home page. Altrimenti, scegli Crea condivisione di risorse dalla pagina Condivisi da me: Condivisioni di risorse.

  4. Nel Passaggio 1: Specificate i dettagli della condivisione delle risorse, effettuate le seguenti operazioni:

    1. In Nome, inserisci un nome descrittivo per la condivisione di risorse.

    2. In Risorse, scegli le risorse da aggiungere alla condivisione di risorse come segue:

      • Per Seleziona il tipo di risorsa, scegli il tipo di risorsa da condividere. In questo modo l'elenco delle risorse condivisibili viene filtrato solo in base alle risorse del tipo selezionato.

      • Nell'elenco di risorse risultante, seleziona le caselle di controllo accanto alle singole risorse che desideri condividere. Le risorse selezionate vengono spostate in Risorse selezionate.

        Se condividi risorse associate a una zona di disponibilità specifica, l'utilizzo dell'ID della zona di disponibilità (ID AZ) ti aiuta a determinare la posizione relativa di queste risorse tra gli account. Per ulteriori informazioni, consulta ID delle zone di disponibilità perAWS le tue risorse.

    3. (Facoltativo) Per allegare tag alla condivisione di risorse, in Tag, inserisci una chiave e un valore per il tag. Aggiungine altri selezionando Aggiungi nuovo tag. Ripeti questo passaggio se necessario. Questi tag si applicano solo alla condivisione di risorse stessa, non alle risorse incluse nella condivisione di risorse.

  5. Scegli Next (Successivo).

  6. Nel Passaggio 2: Associare un'autorizzazione gestita a ciascun tipo di risorsa, è possibile scegliere di associare un'autorizzazione gestita creata da AWS al tipo di risorsa, scegliere un'autorizzazione gestita dal cliente esistente oppure creare un'autorizzazione gestita dal cliente personalizzata per i tipi di risorse supportati. Per ulteriori informazioni, consulta Tipi di autorizzazioni gestite.

    Scegli Crea autorizzazione gestita dal cliente per creare un'autorizzazione gestita dal cliente che soddisfi i requisiti del tuo caso d'uso della condivisione. Per ulteriori informazioni, consulta Creazione di un'autorizzazione gestita dal cliente. Dopo aver completato il processo, scegli Refresh icon e poi puoi selezionare la tua nuova autorizzazione gestita dal cliente dall'elenco a discesa Autorizzazioni gestite.

    Nota

    Se l'autorizzazione gestita selezionata ha più versioni, allega AWS RAM automaticamente la versione predefinita. È possibile allegare solo la versione designata come predefinita.

    Per visualizzare le azioni consentite dall'autorizzazione gestita, espandi Visualizza il modello di policy per questa autorizzazione gestita.

  7. Scegli Next (Successivo).

  8. Nel passaggio 3: concedere l'accesso ai principali, procedi come segue:

    1. Per impostazione predefinita, è selezionata l'opzione Consenti la condivisione con chiunque, il che significa che, per i tipi di risorse Account AWS che la supportano, puoi condividere risorse con persone esterne all'organizzazione. Ciò non influisce sui tipi di risorse che possono essere condivise solo all'interno di un'organizzazione, come le VPC sottoreti Amazon. Puoi anche condividere alcuni tipi di risorse supportati con IAM ruoli e utenti.

      Per limitare la condivisione delle risorse solo agli account e ai responsabili dell'organizzazione, scegli Consenti la condivisione solo all'interno dell'organizzazione.

    2. Per i Responsabili, procedi come segue:

      • Per aggiungere l'organizzazione, un'unità organizzativa (OU) o una persona Account AWS che fa parte di un'organizzazione, attiva Mostra la struttura organizzativa. Viene visualizzata una visualizzazione ad albero dell'organizzazione. Quindi, seleziona la casella di controllo accanto a ciascun principale che desideri aggiungere.

        Importante

        Quando condividi con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Questo perché la politica basata sulle risorse associata a ciascuna risorsa AWS RAM della condivisione utilizza. "Principal": "*" Per ulteriori informazioni, consulta Implicazioni dell'uso"Principal": "*"in politica basata sulle risorse.

        I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono consentire Allow l'accesso alle singole risorse ARNs della condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.

        • Se si seleziona l'organizzazione (l'ID inizia cono-), tutti Account AWS i responsabili dell'organizzazione possono accedere alla condivisione delle risorse.

        • Se si seleziona un'unità organizzativa (l'ID inizia conou-), tutti Account AWS gli amministratori dell'unità organizzativa e la relativa unità secondaria OUs possono accedere alla condivisione delle risorse.

        • Se si seleziona una persona Account AWS, solo i responsabili di quell'account possono accedere alla condivisione delle risorse.

        Nota

        L'interruttore Visualizza la struttura organizzativa viene visualizzato solo se la condivisione con AWS Organizations è abilitata e hai effettuato l'accesso all'account di gestione dell'organizzazione.

        Non puoi utilizzare questo metodo per specificare un IAM ruolo o un utente Account AWS esterno all'organizzazione. È invece necessario disattivare Visualizza la struttura organizzativa e utilizzare l'elenco a discesa e la casella di testo per inserire l'ID oARN.

      • Per specificare un principale tramite ID oARN, compresi i responsabili esterni all'organizzazione, seleziona il tipo principale per ogni principale. Quindi, inserisci l'ID (per un' Account AWS organizzazione o unità organizzativa) o ARN (per un IAM ruolo o un utente), quindi scegli Aggiungi. I tipi principali, gli ID e i ARN formati disponibili sono i seguenti:

        • Account AWS— Per aggiungere un Account AWS, inserisci l'ID dell'account a 12 cifre. Per esempio:

          123456789012

        • Organizzazione: per aggiungere tutti i membri Account AWS della tua organizzazione, inserisci l'ID dell'organizzazione. Per esempio:

          o-abcd1234

        • Unità organizzativa (OU): per aggiungere un'unità organizzativa, inserisci l'ID dell'unità organizzativa. Per esempio:

          ou-abcd-1234efgh

        • IAMruolo: per aggiungere un IAM ruolo, immettere il ARN ruolo. Utilizzare la seguente sintassi:

          arn:partition:iam::account:role/role-name

          Per esempio:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          Nota

          Per ottenere l'univoco ARN per un IAM ruolo, visualizza l'elenco dei ruoli nella IAM console, usa il AWS CLI comando get-role o l'azione GetRoleAPI.

        • IAMutente: per aggiungere un IAM utente, inserisci il nome ARN dell'utente. Utilizzare la seguente sintassi:

          arn:partition:iam::account:user/user-name

          Per esempio:

          arn:aws:iam::123456789012:user/bob

          Nota

          Per ottenere l'univoco ARN di un IAM utente, visualizza l'elenco degli utenti nella IAM console, usa il get-user AWS CLI comando o GetUserAPIazione.

      • Responsabile del servizio: per aggiungere un responsabile del servizio, scegli Responsabile del servizio dal dropbox Seleziona il tipo principale. Inserisci il nome del responsabile del AWS servizio. Utilizzare la seguente sintassi:

        • service-id.amazonaws.com

          Per esempio:

          pca-connector-ad.amazonaws.com

    3. Per Principi selezionati, verifica che i principali specificati compaiano nell'elenco.

  9. Scegli Next (Successivo).

  10. Nel Passaggio 4: Revisione e creazione, rivedi i dettagli di configurazione per la condivisione delle risorse. Per modificare la configurazione per qualsiasi passaggio, scegli il link corrispondente al passaggio a cui desideri tornare e apporta le modifiche richieste.

  11. Dopo aver esaminato la condivisione di risorse, scegli Crea condivisione di risorse.

    Il completamento dell'associazione tra la risorsa e il principale può richiedere alcuni minuti. Consenti il completamento di questo processo prima di provare a utilizzare la condivisione di risorse.

  12. Puoi aggiungere e rimuovere risorse e principali o applicare tag personalizzati alla tua condivisione di risorse in qualsiasi momento. È possibile modificare l'autorizzazione gestita per i tipi di risorse inclusi nella condivisione delle risorse, per quei tipi che supportano più autorizzazioni gestite rispetto all'autorizzazione gestita predefinita. È possibile eliminare la condivisione di risorse quando non si desidera più condividere le risorse. Per ulteriori informazioni, consulta CondividiAWS le risorse di tua proprietà.

AWS CLI
Per creare una condivisione di risorse

Utilizzo dell'create-resource-sharecomando. Il comando seguente crea una condivisione di risorse condivisa con tutti i Account AWS membri dell'organizzazione. La condivisione contiene una configurazione di AWS License Manager licenza e concede le autorizzazioni gestite predefinite per quel tipo di risorsa.

Nota

Se desideri utilizzare un'autorizzazione gestita dal cliente con un tipo di risorsa in questa condivisione di risorse, puoi utilizzare un'autorizzazione gestita dal cliente esistente o crearne una nuova. Prendi nota dell'ARNautorizzazione gestita dal cliente, quindi crea la condivisione di risorse. Per ulteriori informazioni, consulta Creazione di un'autorizzazione gestita dal cliente.

$ aws ram create-resource-share \ --region us-east-1 \ --name MyLicenseConfigShare \ --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \ --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \ --principals arn:aws:organizations::123456789012:organization/o-1234abcd { "resourceShare": { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543", "name": "MyLicenseConfigShare", "owningAccountId": "123456789012", "allowExternalPrincipals": true, "status": "ACTIVE", "creationTime": "2021-09-14T20:42:40.266000-07:00", "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00" } }