Compartilhar seus AWS recursos - AWS Resource Access Manager
Habilitar o compartilhamento de recursos no AWS OrganizationsCriar o compartilhamento de um recurso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhar seus AWS recursos

Para começar a compartilhar um recurso que você possui usando o AWS RAM, faça o seguinte:

Observações

  • Compartilhar um recurso com entidades principais fora dos Conta da AWS proprietários do recurso não altera as permissões ou as cotas que se aplicam ao recurso na conta que o criou.

  • AWS RAM é um serviço regional. As entidades principais com as quais você compartilha podem acessar compartilhamentos de recursos somente no Regiões da AWS local em que foram criados.

  • Alguns recursos têm considerações e pré-requisitos especiais para compartilhamento. Para obter mais informações, consulte Compartilhável AWS recursos.

Habilitar o compartilhamento de recursos no AWS Organizations

Quando sua conta é gerenciada por AWS Organizations, você pode aproveitar isso para compartilhar recursos com mais facilidade. Com ou sem Organizações, um usuário pode compartilhar com contas individuais. No entanto, se sua conta estiver em uma organização, você poderá compartilhar com contas individuais ou com todas as contas da organização ou em uma OU sem precisar enumerar cada conta.

Para compartilhar recursos dentro de uma organização, você deve primeiro usar o AWS RAM console ou AWS Command Line Interface (AWS CLI) para habilitar o compartilhamento com AWS Organizations. Quando você compartilha recursos na organização, o AWS RAM não envia convites às entidades principais. As entidades principais da organização obtêm acesso a recursos compartilhados sem trocar convites.

Quando você ativa o compartilhamento de recursos em sua organização, AWS RAM cria uma função vinculada ao serviço chamada AWSServiceRoleForResourceAccessManager. Essa função pode ser assumida somente pelo AWS RAM serviço e concede AWS RAM permissão para recuperar informações sobre a organização da qual é membro, usando a AWS política gerenciada AWSResourceAccessManagerServiceRolePolicy.

Se não precisar mais compartilhar recursos com toda a organização ou com OUs, você pode desabilitar o compartilhamento de recursos. Para obter mais informações, consulte Desativando o compartilhamento de recursos com AWS Organizations.

Permissões mínimas

Para executar os procedimentos abaixo, você deve fazer login como entidade principal na conta de gerenciamento da organização que tem as seguintes permissões:

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

Requisitos

  • Você pode executar essas etapas somente enquanto estiver conectado como entidade principal na conta de gerenciamento da organização.

  • A organização deve ter todos os atributos habilitados. Para obter mais informações, consulte Habilitar todos os recursos na sua organização no AWS Organizations Manual do usuário.

Importante

Você deve habilitar o compartilhamento AWS Organizations usando o AWS RAM console ou o comando enable-sharing-with-aws-organization AWS CLI. Isso garante que a função vinculada ao serviço AWSServiceRoleForResourceAccessManager seja criada. Se você habilitar o acesso confiável AWS Organizations usando o AWS Organizations console ou o AWS CLI comando enable-aws-service-access , a função AWSServiceRoleForResourceAccessManager vinculada a serviços não foi criada e você não pode compartilhar recursos dentro de sua organização.

Console
Para ativar o compartilhamento de recursos em sua organização

  1. Abra a página Configurações na página do AWS RAM console.

  2. Escolha Habilitar compartilhamento com AWS Organizations e, em seguida, escolha Salvar configurações.

AWS CLI
Para ativar o compartilhamento de recursos em sua organização

Use o comando enable-sharing-with-aws-organization.

Esse comando pode ser usado em qualquer Região da AWS e permite o compartilhamento com o AWS Organizations em todas as regiões que oferecem suporte.

$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}

Criar o compartilhamento de um recurso

Para compartilhar recursos de sua propriedade, crie um compartilhamento de recursos. Aqui está uma visão geral do processo:

  1. Adicione os recursos que você deseja compartilhar.

  2. Para cada tipo de recurso que você incluir no compartilhamento, especifique a permissão gerenciada a ser usada para esse tipo de recurso.

    • Você pode escolher entre uma das AWS permissões gerenciadas disponíveis, uma permissão gerenciada pelo cliente existente ou criar uma nova permissão gerenciada pelo cliente.

    • AWS as permissões gerenciadas são criadas por AWS para cobrir casos de uso padrão.

    • As permissões gerenciadas pelo cliente permitem que você personalize suas próprias permissões gerenciadas para atender às suas necessidades comerciais e de segurança.

    nota

    Se a permissão gerenciada selecionada tiver várias versões, AWS RAM anexará automaticamente a versão padrão. Você pode anexar somente a versão designada como padrão.

  3. Especifique as entidades principais aos quais você deseja que tenham acesso aos recursos.

Considerações

  • Se você precisar excluir posteriormente um AWS recurso incluído em um compartilhamento, recomendamos que primeiro remova o recurso de qualquer compartilhamento de recursos que o inclua ou exclua o compartilhamento de recursos.

  • Os tipos de recursos que você pode incluir em um compartilhamento de recursos estão listados em Compartilhável AWS recursos.

  • Você só poderá compartilhar um recurso se for o proprietário dele. Não é possível compartilhar um recurso compartilhado com você.

  • AWS RAM é um serviço regional. Quando você compartilha um recurso com entidades principais em outros Contas da AWS, essas entidades principais devem acessar cada recurso do mesmo em Região da AWS que foi criado. Para recursos globais compatíveis, você pode acessar esses recursos de qualquer um Região da AWS que seja compatível com o console de serviço e as ferramentas desse recurso. Você pode visualizar esses compartilhamentos de recursos e seus recursos globais no AWS RAM console e nas ferramentas somente na região de origem designada, Leste dos EUA (Norte da Virgínia) us-east-1. Para obter mais informações sobre AWS RAM e recursos globais, consulte Compartilhamento de recursos regionais em comparação com recursos globais.

  • Se a conta a partir da qual você está compartilhando fizer parte de uma organização AWS Organizations e o compartilhamento estiver habilitado na organização, todas as entidades principais da organização com a qual você compartilhar os recursos receberão acesso automaticamente aos compartilhamentos de recursos sem o uso de convites. Uma entidade principal de uma conta com a qual você compartilha recursos fora do contexto de uma organização recebe um convite para ingressar no compartilhamento de recursos e acesso aos recursos compartilhados somente após aceitar o convite.

  • Se você compartilhar com uma entidade principal de serviço, não poderá associar nenhuma outra entidade principal ao compartilhamento de recursos.

  • Se o compartilhamento for entre contas ou entidades principais que fazem parte de uma organização, qualquer alteração na associação à organização afetará dinamicamente o acesso ao compartilhamento de recursos.

    • Se você adicionar um Conta da AWS à organização ou a uma OU que tenha acesso a um compartilhamento de recursos, essa nova conta de membro automaticamente terá acesso ao compartilhamento de recursos. O administrador da conta com a qual você compartilhou pode então conceder às entidades principais individuais dessa conta acesso aos recursos desse compartilhamento.

    • Se você remover uma conta da organização ou de uma OU que tenha acesso a um compartilhamento de recursos, todas as entidades principais dessa conta perderão automaticamente o acesso aos recursos que foram acessados por meio desse compartilhamento de recursos.

    • Se você compartilhou diretamente com uma conta membro ou com funções do IAM ou usuários na conta membro e depois remover essa conta da organização, todas as entidades principais dessa conta perderão o acesso aos recursos que foram acessados por meio desse compartilhamento de recursos.

    Importante

    Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades principais na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos AWS RAM anexada a cada recurso no compartilhamento usa "Principal": "*". Para obter mais informações, consulte Implicações do uso da "Principal": "*" em uma política baseada em recursos.

    As entidades principais das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades principais apropriadas. Essas políticas devem conceder Allow acesso aos ARNs de recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos.

  • Você pode adicionar somente a organização da qual sua conta é membro e OUs dessa organização aos seus compartilhamentos de recursos. Você não pode adicionar OUs ou organizações de fora da sua própria organização a um compartilhamento de recursos como entidades principais. No entanto, você pode adicionar funções individuais Contas da AWS ou, para serviços compatíveis, usuários e funções do IAM de fora da sua organização como entidades principais de um compartilhamento de recursos.

    nota

    Nem todos os tipos de recursos podem ser compartilhados com perfis e usuários do IAM. Para obter informações sobre os recursos que você pode compartilhar com essas entidades principais, consulte Compartilhável AWS recursos.

  • Para os seguintes tipos de recursos, você tem sete dias para aceitar o convite para participar do compartilhamento para os seguintes tipos de recursos. Se você não aceitar o convite antes que ele expire, ele será automaticamente recusado.

    Importante

    Para tipos de recursos compartilhados que não estão na lista a seguir, você tem 12 horas para aceitar o convite para participar do compartilhamento de recursos. Depois de 12 horas, o convite expira e o usuário final de entidade principal no compartilhamento de recursos é desassociado. O convite não pode mais ser aceito pelos usuários finais.

    • Clusters de banco de dados do Amazon Aurora

    • Amazon EC2 — reservas de capacidade e hosts dedicados

    • AWS License Manager - Configurações de licença

    • AWS Outposts - Tabelas de rotas de gateway local, postos avançados e sites

    • Amazon Route 53 — Regras de encaminhamento

    • Amazon VPC — endereços IPv4 de propriedade do cliente, listas de prefixos, sub-redes, alvos de espelhamento de tráfego, gateways de trânsito, domínios multicast de gateway de trânsito

Console
Criar o compartilhamento de um recurso

  1. Abra o console do AWS RAM.

  2. Como os compartilhamentos de AWS RAM recursos existem de forma específica Regiões da AWS, escolha o apropriado Região da AWS na lista suspensa no canto superior direito do console. Para ver os compartilhamentos de recursos que contêm recursos globais, Região da AWS defina como Leste dos EUA (Norte da Virgínia), (us-east-1). Para obter mais informações sobre o compartilhamento de recursos globais, consulte Compartilhamento de recursos regionais em comparação com recursos globais. Se você quiser incluir recursos globais no compartilhamento de recursos, deverá escolher a região de origem designada, Leste dos EUA (Norte da Virgínia) us-east-1.

  3. Se você for novo no AWS RAM, selecione Create a resource share (Criar um compartilhamento de recurso) na página inicial. Caso contrário, escolha Criar compartilhamento de recursos na página Compartilhado por mim: compartilhamentos de recursos.

  4. Na Etapa 1: Especificar detalhes do compartilhamento de recursos, faça o seguinte:

    1. Em Nome, insira um nome descritivo para o compartilhamento de recursos.

    2. Em Recursos, escolha recursos para adicionar ao compartilhamento de recursos da seguinte forma:

      • Em Selecionar tipo de recurso, selecione o tipo de recurso. Isso filtra a lista de recursos compartilháveis para os recursos do tipo selecionado.

      • Na lista de recursos resultante, marque a caixa de seleção ao lado dos recursos individuais que você deseja compartilhar. Os recursos selecionados são movidos para Recursos selecionados.

        Se você está compartilhando recursos zonais, o uso do ID da zona de disponibilidade (ID da AZ) ajuda a determinar o local relativo desses recursos nas contas. Para obter mais informações, consulte IDs de zona de disponibilidade para seus AWS recursos.

    3. (Opcional) Para anexar tags ao compartilhamento de recursos, em Tags, insira uma chave e um valor de tag. Adicione outras pessoas escolhendo Adicionar nova tag. Repita esta etapa conforme necessário. Essas tags se aplicam somente ao compartilhamento de recursos em si, não aos recursos no compartilhamento de recursos.

  5. Escolha Próximo.

  6. Na Etapa 2: Associar uma permissão gerenciada a cada tipo de recurso, você pode escolher associar uma permissão gerenciada criada por AWS ao tipo de recurso, escolher uma permissão gerenciada pelo cliente existente ou criar sua própria permissão gerenciada pelo cliente para os tipos de recursos compatíveis. Para obter mais informações, consulte Tipos de permissões gerenciadas.

    Escolha Criar permissão gerenciada pelo cliente para criar uma permissão gerenciada pelo cliente que atenda aos requisitos do seu caso de uso de compartilhamento. Para mais informações, consulte Criar uma política gerenciada pelo cliente. Depois de concluir o processo, escolha Refresh icon e selecione sua nova permissão gerenciada pelo cliente na lista suspensa Permissões gerenciadas.

    nota

    Se a permissão gerenciada selecionada tiver várias versões, AWS RAM anexará automaticamente a versão padrão. Você pode anexar somente a versão designada como padrão.

    Para exibir as ações que a permissão gerenciada permite, expanda Exibir o modelo de política dessa permissão gerenciada.

  7. Escolha Próximo.

  8. Na Etapa 3: Conceder acesso às entidades principais, faça o seguinte:

    1. Por padrão, Permitir compartilhamento com qualquer pessoa está selecionado, o que significa que, para os tipos de recursos que o suportam, você pode compartilhar recursos com pessoas Contas da AWS que estão fora da sua organização. Isso não afeta os tipos de recursos que podem ser compartilhados somente dentro de uma organização, como as sub-redes do Amazon VPC. Você também pode compartilhar alguns tipos de recursos compatíveis com perfis e usuários do IAM.

      Para restringir o compartilhamento de recursos somente a contas e entidades principais em sua organização, escolha Permitir compartilhamento somente dentro de sua organização.

    2. Para entidades principais, faça o seguinte:

      • Para adicionar a organização, uma unidade organizacional (OU) ou uma Conta da AWS que faça parte de uma organização, ative Exibir estrutura organizacional. Isso exibe uma visualização em árvore da sua organização. Em seguida, marque a caixa de seleção ao lado de cada entidade principal que você deseja adicionar.

        Importante

        Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades principais na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos AWS RAM anexada a cada recurso no compartilhamento usa "Principal": "*". Para obter mais informações, consulte Implicações do uso da "Principal": "*" em uma política baseada em recursos.

        As entidades principais das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades principais apropriadas. Essas políticas devem conceder Allow acesso aos ARNs de recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos.

        • Se você selecionar a organização (o ID começa com o-), as entidades principais de toda Contas da AWS a organização poderão acessar o compartilhamento de recursos.

        • Se você selecionar uma OU (o ID começa com ou-), as entidades principais de toda Contas da AWS essa OU e suas OUs secundárias poderão acessar o compartilhamento de recursos.

        • Se você selecionar um indivíduo Conta da AWS, somente as entidades principais dessa conta poderão acessar o compartilhamento de recursos.

        nota

        A opção Exibir estrutura organizacional aparece somente se o compartilhamento com AWS Organizations estiver ativado e você estiver conectado à conta de gerenciamento da organização.

        Você não pode usar esse método para especificar uma função ou usuário Conta da AWS externo à sua organização ou função do IAM. Em vez disso, você deve desativar Exibir estrutura organizacional e usar a lista suspensa e a caixa de texto para inserir o ID ou o ARN.

      • Para especificar uma ntidade principal por ID ou ARN, incluindo diretores que estão fora da organização, selecione o tipo principal para cada entidade principal. Em seguida, insira o ID (para uma Conta da AWS organização ou OU) ou o ARN (para uma função ou usuário do IAM) e escolha Adicionar. Os tipos de entidades principais e formatos de ID e ARN disponíveis são os seguintes:

        • Conta da AWS— Para adicionar um Conta da AWS, insira o ID da conta de 12 dígitos. Por exemplo:

          123456789012

        • Organização — Para adicionar todos os Contas da AWS da sua organização, insira o ID da organização. Por exemplo:

          o-abcd1234

        • Unidade organizacional (OU) — Para adicionar uma OU, insira a ID da OU. Por exemplo:

          ou-abcd-1234efgh

        • Função do IAM — Para adicionar uma função do IAM, insira o ARN da função. Use a seguinte sintaxe:

          arn:partition:iam::account:role/role-name

          Por exemplo:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          nota

          Para obter o ARN exclusivo para uma função do IAM, veja a lista de funções no console do IAM use o AWS CLI comando get-role ou a ação da API GetRole.

        • Usuário do IAM — Para adicionar um usuário do IAM, insira o ARN do usuário. Use a seguinte sintaxe:

          arn:partition:iam::account:user/user-name

          Por exemplo:

          arn:aws:iam::123456789012:user/bob

          nota

          Para obter o ARN exclusivo para um usuário do IAM, visualize a lista de usuários no console do IAM, use o comando get-user AWS CLI ou a ação da GetUser API.

      • Entidade principal de serviço — Para adicionar uma entidade principal de serviço, escolha Entidade principal de serviço na caixa de seleção do tipo de entidade principal. Insira o AWS nome da entidade de serviço. Use a seguinte sintaxe:

        • service-id.amazonaws.com

          Por exemplo:

          pca-connector-ad.amazonaws.com

    3. Para entidades principais selecionadas, verifique se as entidade sprincipais que você especificou aparecem na lista.

  9. Escolha Próximo.

  10. Na Etapa 4: revisar e criar, revise os detalhes da configuração do seu compartilhamento de recursos. Para alterar a configuração de qualquer etapa, escolha o link que corresponde à etapa à qual você deseja voltar e faça as alterações necessárias.

  11. Depois de concluir a revisão do compartilhamento de recursos, escolha Criar compartilhamento de recursos.

    Pode levar alguns minutos para que as associações de entidades principais entre recurso e principal sejam concluídas. Permita que esse processo seja concluído antes de tentar usar o compartilhamento de recursos.

  12. É possível adicionar e remover recursos e entidades principais ou aplicar tags personalizadas ao recurso a qualquer momento. Você pode alterar a permissão gerenciada para tipos de recursos incluídos em seu compartilhamento de recursos, para aqueles tipos que oferecem suporte a mais do que a permissão gerenciada padrão. É possível excluir o recurso quando você não quiser mais compartilhar os recursos. Para obter mais informações, consulte Compartilhamento AWS de recursos pertencentes a você.

AWS CLI
Criar o compartilhamento de um recurso

Use o comando create-resource-share. O comando a seguir cria um compartilhamento de recursos que é compartilhado com todos Contas da AWS na organização. O compartilhamento contém uma configuração de AWS License Manager licença e concede as permissões gerenciadas padrão para esse tipo de recurso.

nota

Se quiser usar uma permissão gerenciada pelo cliente com um tipo de recurso nesse compartilhamento de recursos, você pode usar uma permissão gerenciada pelo cliente existente ou criar uma nova permissão gerenciada pelo cliente. Anote o ARN da permissão gerenciada pelo cliente e, em seguida, crie o compartilhamento de recursos. Para obter mais informações, consulte Criar uma política gerenciada pelo cliente.

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}