Condividi un gruppo ad accesso verificato con un altro Account AWS - AWS Accesso verificato
ConsiderazioniCondivisioni di risorse

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Condividi un gruppo ad accesso verificato con un altro Account AWS

Quando condividi un gruppo ad accesso verificato di tua proprietà con altri AWS account, consenti a tali account di creare endpoint di accesso verificato nel tuo gruppo. L'account che ha creato il gruppo di accesso verificato in viene definito account del proprietario. L'account che utilizza un gruppo condiviso viene denominato account consumatore.

Il diagramma seguente illustra i vantaggi della condivisione di un gruppo con accesso verificato. Il team di sicurezza centrale è proprietario dell'Account A. Gestisce utenti e gruppi e gestisce le risorse di accesso verificato necessarie per fornire l'accesso alle applicazioni interne, come i provider fiduciari di accesso verificato, le istanze di accesso verificato, i gruppi di accesso verificato e le politiche di accesso verificato. AWS IAM Identity Center Il team dell'applicazione possiede l'Account B. Gestisce le risorse necessarie per eseguire l'applicazione interna, come il load balancer, il gruppo Auto Scaling, la configurazione DNS in Amazon Route 53 e i certificati AWS Certificate Manager TLS di (ACM). Dopo che il team di sicurezza centrale ha condiviso un gruppo di accesso verificato con l'Account B, il team dell'applicazione può creare endpoint di accesso verificato utilizzando il gruppo condiviso. L'accesso all'applicazione è consentito o negato in base alle politiche create dal team di sicurezza centrale per il gruppo di accesso verificato.

Condivisione di un gruppo ad accesso verificato tra account di un'organizzazione.

Considerazioni

Le seguenti considerazioni si applicano ai gruppi condivisi con accesso verificato.

Proprietari

  • Per condividere un gruppo con accesso verificato, gli utenti devono disporre delle seguenti autorizzazioni: ec2:PutResourcePolicy eec2:DeleteResourcePolicy.

  • Per condividere un gruppo con accesso verificato, devi possederlo. Non puoi condividere un gruppo con accesso verificato che è stato condiviso con te.

  • Se abiliti la condivisione con gli account della tua organizzazione, puoi condividere risorse, come i gruppi con accesso verificato, senza usare inviti. In caso contrario, il consumatore riceve un invito e deve accettarlo per accedere al gruppo condiviso. Per abilitare la condivisione, dall'account di gestione dell'organizzazione, apri la pagina Impostazioni nella AWS RAM console e scegli Abilita condivisione con AWS Organizations.

  • Non puoi eliminare un gruppo se sono associati endpoint di accesso verificato. Puoi visualizzare gli endpoint creati dagli account consumer nella pagina degli endpoint con accesso verificato del tuo account. L'ID account del proprietario di un endpoint si riflette nell'Amazon Resource Name (ARN) del certificato per l'endpoint.

Consumer

  • Per visualizzare i gruppi di accesso verificato condivisi con te, apri la pagina dei gruppi di accesso verificato nella console o chiama. describe-verified-access-groups L'ID account del proprietario si riflette nel campo Owner e nell'Amazon Resource Name (ARN) del gruppo.

  • Quando crei un endpoint di accesso verificato, puoi specificare tutti i gruppi di accesso verificato che sono stati condivisi con te.

  • Non puoi visualizzare gli endpoint associati al gruppo condiviso ma non di tua proprietà.

  • Se il proprietario del gruppo Verified Access elimina la condivisione di risorse, non puoi creare un nuovo endpoint di accesso verificato nel gruppo. Tutti gli endpoint di accesso verificato creati prima dell'eliminazione della condivisione di risorse non sono interessati dall'eliminazione della condivisione di risorse. Tuttavia, il proprietario del gruppo condiviso può eliminare i tuoi endpoint.

Condivisioni di risorse

Per condividere un gruppo con accesso verificato, è necessario aggiungerlo a una condivisione di risorse. Una condivisione di risorse specifica le risorse da condividere e i consumatori che possono utilizzare le risorse condivise.

Per condividere un gruppo con accesso verificato utilizzando la console

  1. Apri la AWS RAM console in https://console.aws.amazon.com/ram.

  2. Se non disponi di una condivisione di risorse per la tua organizzazione, creane una. Per il responsabile, puoi scegliere l'intera organizzazione, un'unità organizzativa o AWS account specifici.

  3. Seleziona la tua condivisione di risorse e scegli Modifica.

  4. PerResources, scegli Gruppi di accesso verificati come tipo di risorsa, quindi seleziona il gruppo di risorse da condividere.

  5. Scegli Salta a: Rivedi e aggiorna.

  6. Scegli Aggiorna condivisione risorse.

Per ulteriori informazioni, consulta l'argomento relativo alla creazione di una condivisione di risorse nella Guida per l'utente di AWS RAM .