Creazione di una condivisione di risorse in AWS RAM

Per creare una condivisione di risorse

1. Aprire la console AWS RAM.

2. Poiché le condivisioni di AWS RAM risorse esistono in modo specificoRegioni AWS, scegli quella appropriata Regione AWS dall'elenco a discesa nell'angolo in alto a destra della console. Per visualizzare le condivisioni di risorse che contengono risorse globali, è necessario impostarle su Stati Uniti orientali (Virginia settentrionale), (). Regione AWS us-east-1 Per ulteriori informazioni sulla condivisione di risorse globali, consultaCondivisione delle risorse regionali rispetto alle risorse globali. Se desideri includere risorse globali nella condivisione delle risorse, devi scegliere la regione di origine designata, Stati Uniti orientali (Virginia settentrionale),us-east-1.

3. Se sei nuovoAWS RAM, scegli Crea una condivisione di risorse dalla home page. Altrimenti, scegli Crea condivisione di risorse dalla pagina Condivisi da me: Condivisioni di risorse.

4. Nel Passaggio 1: Specificate i dettagli della condivisione delle risorse, effettuate le seguenti operazioni:

   1. In Nome, inserisci un nome descrittivo per la condivisione di risorse.

   2. In Risorse, scegli le risorse da aggiungere alla condivisione di risorse come segue:

      • Per Seleziona il tipo di risorsa, scegli il tipo di risorsa da condividere. In questo modo l'elenco delle risorse condivisibili viene filtrato solo in base alle risorse del tipo selezionato.

      • Nell'elenco di risorse risultante, seleziona le caselle di controllo accanto alle singole risorse che desideri condividere. Le risorse selezionate vengono spostate in Risorse selezionate.

        Se condividi risorse associate a una zona di disponibilità specifica, l'utilizzo dell'ID della zona di disponibilità (ID AZ) ti aiuta a determinare la posizione relativa di queste risorse tra gli account. Per ulteriori informazioni, consulta ID delle zone di disponibilità perAWS le tue risorse.

   3. (Facoltativo) Per allegare tag alla condivisione di risorse, in Tag, inserisci una chiave e un valore per il tag. Aggiungine altri selezionando Aggiungi nuovo tag. Ripeti questo passaggio se necessario. Questi tag si applicano solo alla condivisione di risorse stessa, non alle risorse incluse nella condivisione di risorse.

5. Seleziona Successivo.

6. Nel Passaggio 2: Associa un'autorizzazione gestita a ciascun tipo di risorsa, puoi scegliere di associare un'autorizzazione gestita creata da AWS al tipo di risorsa, scegliere un'autorizzazione gestita dal cliente esistente oppure creare un'autorizzazione gestita dal cliente personalizzata per i tipi di risorse supportati. Per ulteriori informazioni, consulta Tipi di autorizzazioni gestite.

   Scegli Crea autorizzazione gestita dal cliente per creare un'autorizzazione gestita dal cliente che soddisfi i requisiti del tuo caso d'uso della condivisione. Per ulteriori informazioni, consulta Creazione di un'autorizzazione gestita dal cliente. Dopo aver completato il processo, scegli e poi puoi selezionare la tua nuova autorizzazione gestita dal cliente dall'elenco a discesa Autorizzazioni gestite.

   Nota

   Se l'autorizzazione gestita selezionata ha più versioni, allega AWS RAM automaticamente la versione predefinita. È possibile allegare solo la versione designata come predefinita.

   Per visualizzare le azioni consentite dall'autorizzazione gestita, espandi Visualizza il modello di policy per questa autorizzazione gestita.

7. Seleziona Successivo.

8. Nel passaggio 3: concedere l'accesso ai principali, procedi come segue:

   1. Per impostazione predefinita, è selezionata l'opzione Consenti la condivisione con chiunque, il che significa che, per i tipi di risorse Account AWS che la supportano, puoi condividere risorse con persone esterne all'organizzazione. Ciò non influisce sui tipi di risorse che possono essere condivise solo all'interno di un'organizzazione, come le sottoreti Amazon VPC. Puoi anche condividere alcuni tipi di risorse supportati con ruoli e utenti IAM.

      Per limitare la condivisione delle risorse solo agli account e ai responsabili della tua organizzazione, scegli Consenti la condivisione solo all'interno dell'organizzazione.

   2. Per i Responsabili, procedi come segue:

      • Per aggiungere l'organizzazione, un'unità organizzativa (OU) o una persona Account AWS che fa parte di un'organizzazione, attiva Mostra la struttura organizzativa. Viene visualizzata una visualizzazione ad albero dell'organizzazione. Quindi, seleziona la casella di controllo accanto a ogni principale che desideri aggiungere.

        Importante

        Quando condividi con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Ciò è dovuto al fatto che AWS RAM la politica basata sulle risorse associata a ciascuna risorsa della condivisione utilizza. "Principal": "*" Per ulteriori informazioni, consulta Implicazioni dell'uso"Principal": "*"in politica basata sulle risorse.

        I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono concedere Allow l'accesso agli ARN delle singole risorse nella condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.

        • Se si seleziona l'organizzazione (l'ID inizia cono-), tutti Account AWS i responsabili dell'organizzazione possono accedere alla condivisione delle risorse.

        • Se si seleziona un'unità organizzativa (l'ID inizia conou-), tutti gli Account AWS amministratori dell'unità organizzativa e delle relative unità organizzative figlie possono accedere alla condivisione delle risorse.

        • Se si seleziona una personaAccount AWS, solo i responsabili di quell'account possono accedere alla condivisione delle risorse.

        Nota

        L'interruttore Visualizza la struttura organizzativa viene visualizzato solo se la condivisione con AWS Organizations è abilitata e hai effettuato l'accesso all'account di gestione dell'organizzazione.

        Non puoi utilizzare questo metodo per specificare un ruolo o un utente Account AWS esterno all'organizzazione o un ruolo o utente IAM. È invece necessario disattivare Visualizza la struttura organizzativa e utilizzare l'elenco a discesa e la casella di testo per inserire l'ID o l'ARN.

      • Per specificare un principale tramite ID o ARN, inclusi i principali esterni all'organizzazione, selezionare il tipo principale per ogni principale. Quindi, inserisci l'ID (per un'Account AWSorganizzazione o un'unità organizzativa) o l'ARN (per un ruolo o un utente IAM), quindi scegli Aggiungi. I tipi principali e i formati ID e ARN disponibili sono i seguenti:

        • Account AWS— Per aggiungere unAccount AWS, inserisci l'ID dell'account a 12 cifre. Ad esempio:

          123456789012

        • Organizzazione: per aggiungere tutti i membri Account AWS della tua organizzazione, inserisci l'ID dell'organizzazione. Ad esempio:

          o-abcd1234

        • Unità organizzativa (OU): per aggiungere un'unità organizzativa, inserisci l'ID dell'unità organizzativa. Ad esempio:

          ou-abcd-1234efgh

        • Ruolo IAM: per aggiungere un ruolo IAM, inserisci l'ARN del ruolo. Utilizzare la seguente sintassi:

          arn:partition:iam::account:role/role-name

          Ad esempio:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          Nota

          Per ottenere l'ARN univoco per un ruolo IAM, visualizza l'elenco dei ruoli nella console IAM, usa il AWS CLI comando get-role o l'azione API. GetRole

        • Utente IAM: per aggiungere un utente IAM, inserisci l'ARN dell'utente. Utilizzare la seguente sintassi:

          arn:partition:iam::account:user/user-name

          Ad esempio:

          arn:aws:iam::123456789012:user/bob

          Nota

          Per ottenere l'ARN univoco per un utente IAM, visualizza l'elenco degli utenti nella console IAM, utilizza il get-userAWS CLIcomando o l'azione GetUserAPI.

      • Responsabile del servizio: per aggiungere un responsabile del servizio, scegli Responsabile del servizio dal dropbox Seleziona il tipo principale. Inserisci il nome del responsabile del AWS servizio. Utilizzare la seguente sintassi:

        • service-id.amazonaws.com

          Ad esempio:

          pca-connector-ad.amazonaws.com

   3. Per Principi selezionati, verifica che i principali specificati compaiano nell'elenco.

9. Seleziona Successivo.

10. Nel Passaggio 4: Revisione e creazione, rivedi i dettagli di configurazione per la condivisione delle risorse. Per modificare la configurazione per qualsiasi passaggio, scegli il link corrispondente al passaggio a cui desideri tornare e apporta le modifiche richieste.

11. Dopo aver esaminato la condivisione di risorse, scegli Crea condivisione di risorse.

    Il completamento dell'associazione tra la risorsa e il principale può richiedere alcuni minuti. Attendi il completamento di questo processo prima di provare a utilizzare la condivisione di risorse.

12. Puoi aggiungere e rimuovere risorse e principali o applicare tag personalizzati alla tua condivisione di risorse in qualsiasi momento. È possibile modificare l'autorizzazione gestita per i tipi di risorse inclusi nella condivisione delle risorse, per quei tipi che supportano più autorizzazioni gestite rispetto all'autorizzazione gestita predefinita. È possibile eliminare la condivisione di risorse quando non si desidera più condividere le risorse. Per ulteriori informazioni, consulta CondividiAWS le risorse di tua proprietà.