Compartilhando seus AWS recursos - AWS Resource Access Manager
Habilitar o compartilhamento de recursos no AWS OrganizationsCriar o compartilhamento de um recurso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Compartilhando seus AWS recursos

Para compartilhar um recurso que você possui usando AWS RAM, faça o seguinte:

Observações

  • Compartilhar um recurso com diretores fora dos Conta da AWS proprietários do recurso não altera as permissões ou as cotas que se aplicam ao recurso na conta que o criou.

  • AWS RAM é um serviço regional. Os diretores com os quais você compartilha podem acessar compartilhamentos de recursos somente no Regiões da AWS local em que foram criados.

  • Alguns recursos têm considerações e pré-requisitos especiais para compartilhamento. Para obter mais informações, consulte Recursos compartilháveis AWS.

Habilitar o compartilhamento de recursos no AWS Organizations

Quando sua conta é gerenciada por AWS Organizations, você pode aproveitar isso para compartilhar recursos com mais facilidade. Com ou sem Organizações, um usuário pode compartilhar com contas individuais. No entanto, se a sua conta estiver em uma organização, você poderá compartilhar com contas individuais ou com todas as contas na organização ou em uma UO sem precisar enumerar cada conta.

Para compartilhar recursos dentro de uma organização, você deve primeiro usar o AWS RAM console ou AWS Command Line Interface (AWS CLI) para habilitar o compartilhamento com AWS Organizations. Quando você compartilha recursos em sua organização, AWS RAM não envia convites aos diretores. As entidades principais da organização obtêm acesso a recursos compartilhados sem trocar convites.

Quando você ativa o compartilhamento de recursos em sua organização, AWS RAM cria uma função vinculada ao serviço chamada. AWSServiceRoleForResourceAccessManager Essa função pode ser assumida somente pelo AWS RAM serviço e concede AWS RAM permissão para recuperar informações sobre a organização da qual é membro, usando a política AWS AWSResourceAccessManagerServiceRolePolicy gerenciada.

Se você não precisar mais compartilhar recursos com toda a organização ou OUs desativar o compartilhamento de recursos. Para obter mais informações, consulte Desativando o compartilhamento de recursos com AWS Organizations.

Permissões mínimas

Para executar os procedimentos abaixo, você deve fazer login como entidade principal na conta de gerenciamento da organização que tem as seguintes permissões:

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

Requisitos

  • Você pode executar essas etapas somente quando tiver feito login como entidade principal na conta de gerenciamento da organização.

  • A organização deve ter todos os atributos habilitados. Para obter mais informações, consulte Enabling all features in your organization no Manual do usuário do AWS Organizations .

Importante

Você deve habilitar o compartilhamento com AWS Organizations usando o AWS RAM console ou o AWS CLI comando enable-sharing-with-aws-organization. Isso garante que a função vinculada ao serviço AWSServiceRoleForResourceAccessManager seja criada. Se você habilitar o acesso confiável AWS Organizations usando o AWS Organizations console ou o enable-aws-service-access AWS CLI comando, a função AWSServiceRoleForResourceAccessManager vinculada ao serviço não será criada e você não poderá compartilhar recursos em sua organização.

Console
Para ativar o compartilhamento de recursos em sua organização

  1. Abra a página Configurações no AWS RAM console.

  2. Escolha Habilitar compartilhamento com e AWS Organizations, em seguida, escolha Salvar configurações.

AWS CLI
Para ativar o compartilhamento de recursos em sua organização

Use o comando enable-sharing-with-aws-organization.

Esse comando pode ser usado em qualquer Região da AWS um e permite o compartilhamento com AWS Organizations todas as regiões nas quais AWS RAM é suportado.

$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}

Criar o compartilhamento de um recurso

Para compartilhar recursos de sua propriedade, crie um compartilhamento de recursos. Aqui está uma visão geral do processo:

  1. Adicione os recursos que você deseja compartilhar.

  2. Para cada tipo de recurso que você incluir no compartilhamento, especifique a permissão gerenciada a ser usada para esse tipo de recurso.

    • Você pode escolher entre uma das permissões AWS gerenciadas disponíveis, uma permissão gerenciada pelo cliente existente ou criar uma nova permissão gerenciada pelo cliente.

    • AWS as permissões gerenciadas são criadas por AWS para cobrir casos de uso padrão.

    • As permissões gerenciadas pelo cliente permitem que você personalize suas próprias permissões gerenciadas para atender às suas necessidades comerciais e de segurança.

    nota

    Se a permissão gerenciada selecionada tiver várias versões, AWS RAM anexará automaticamente a versão padrão. Você pode anexar somente a versão designada como padrão.

  3. Especifique as entidades principais que você deseja que tenham acesso aos recursos.

Considerações

  • Se você precisar excluir posteriormente um AWS recurso incluído em um compartilhamento, recomendamos que primeiro remova o recurso de qualquer compartilhamento de recursos que o inclua ou exclua o compartilhamento de recursos.

  • Os tipos de recursos que você pode incluir em um compartilhamento de recursos estão listados em Recursos compartilháveis AWS.

  • Você só poderá compartilhar um recurso se for o proprietário dele. Não é possível compartilhar um recurso compartilhado com você.

  • AWS RAM é um serviço regional. Quando você compartilha um recurso com entidades principais em outras Contas da AWS, essas entidades principais devem acessar cada recurso da mesma Região da AWS em que foi criado. Para recursos globais compatíveis, você pode acessar esses recursos de qualquer um Região da AWS que seja compatível com o console de serviço e as ferramentas desse recurso. Você pode visualizar esses compartilhamentos de recursos e seus recursos globais no console do AWS RAM e nas ferramentas somente na região de origem designada, Leste dos EUA (Norte da Virgínia), us-east-1. Para obter mais informações AWS RAM e recursos globais, consulteCompartilhamento de recursos regionais em comparação com recursos globais.

  • Se a conta da qual você está compartilhando fizer parte de uma organização AWS Organizations e o compartilhamento dentro da sua organização estiver ativado, todos os diretores da organização com a qual você compartilha recebem automaticamente acesso aos compartilhamentos de recursos sem o uso de convites. Uma entidade principal em uma conta com a qual você compartilha fora do contexto de uma organização recebe um convite para ingressar no compartilhamento de recursos e acesso aos recursos compartilhados somente após aceitar o convite.

  • Se você compartilhar com uma entidade principal de serviço, não poderá associar nenhuma outra entidade principal ao compartilhamento de recursos.

  • Se o compartilhamento for entre contas ou entidades principais que fazem parte de uma organização, qualquer alteração na associação à organização afetará dinamicamente o acesso ao compartilhamento de recursos.

    • Se você adicionar um Conta da AWS à organização ou a uma OU que tenha acesso a um compartilhamento de recursos, essa nova conta de membro automaticamente terá acesso ao compartilhamento de recursos. O administrador da conta com a qual você compartilhou pode então conceder às entidades principais individuais dessa conta acesso aos recursos desse compartilhamento.

    • Se você remover uma conta da organização ou de uma OU que tenha acesso a um compartilhamento de recursos, todas as entidades principais dessa conta perderão automaticamente o acesso aos recursos que foram acessados por meio desse compartilhamento de recursos.

    • Se você compartilhou diretamente com uma conta de membro ou com IAM funções ou usuários na conta de membro e depois remover essa conta da organização, todos os diretores dessa conta perderão o acesso aos recursos que foram acessados por meio desse compartilhamento de recursos.

    Importante

    Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades principais na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos AWS RAM anexada a cada recurso no compartilhamento usa. "Principal": "*" Para obter mais informações, consulte Implicações do uso da "Principal": "*" em uma política baseada em recursos.

    As entidades principais das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades principais apropriadas. Essas políticas devem conceder Allow acesso aos ARNs recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos.

  • Você pode adicionar somente a organização da qual sua conta é membro e OUs dessa organização aos seus compartilhamentos de recursos. Você não pode adicionar organizações OUs de fora da sua própria organização a um compartilhamento de recursos como diretores. No entanto, você pode adicionar IAM funções e usuários individuais Contas da AWS ou, para serviços suportados, de fora da sua organização como diretores em um compartilhamento de recursos.

    nota

    Nem todos os tipos de recursos podem ser compartilhados com IAM funções e usuários. Para obter informações sobre os recursos que você pode compartilhar com essas entidades principais, consulte Recursos compartilháveis AWS.

  • Para os seguintes tipos de recursos, você tem sete dias para aceitar o convite para participar do compartilhamento para os seguintes tipos de recursos. Se você não aceitar o convite antes que ele expire, ele será automaticamente recusado.

    Importante

    Para tipos de recursos compartilhados que não estão na lista a seguir, você tem 12 horas para aceitar o convite para participar do compartilhamento de recursos. Depois de 12 horas, o convite expira e o usuário final da entidade principal no compartilhamento de recursos é desassociado. O convite não pode mais ser aceito pelos usuários finais.

    • Amazon Aurora: clusters de banco de dados

    • Amazon EC2 — reservas de capacidade e anfitriões dedicados

    • AWS License Manager — Configurações de licença

    • AWS Outposts — Tabelas de rotas de gateway local, postos avançados e sites

    • Amazon Route 53: regras de encaminhamento

    • Amazon VPC — IPv4 Endereços de propriedade do cliente, listas de prefixos, sub-redes, alvos de espelhamento de tráfego, gateways de trânsito, domínios multicast de gateway de trânsito

Console
Criar o compartilhamento de um recurso

  1. Abra o console de AWS RAM.

  2. Como existem compartilhamentos de AWS RAM recursos específicos Regiões da AWS, escolha o apropriado na Região da AWS lista suspensa no canto superior direito do console. Para ver os compartilhamentos de recursos que contêm recursos globais, você deve Região da AWS definir o como Leste dos EUA (Norte da Virgínia), (us-east-1). Para obter mais informações sobre o compartilhamento de recursos globais, consulte Compartilhamento de recursos regionais em comparação com recursos globais. Se você quiser incluir recursos globais no compartilhamento de recursos, deverá escolher a região de origem designada, Leste dos EUA (Norte da Virgínia), us-east-1.

  3. Se você é novato AWS RAM, escolha Criar um compartilhamento de recursos na página inicial. Caso contrário, escolha Criar compartilhamento de recursos na página Compartilhado por mim: compartilhamentos de recursos.

  4. Na Etapa 1: Especificar detalhes do compartilhamento de recursos, faça o seguinte:

    1. Em Nome, insira um nome descritivo para o compartilhamento de recursos.

    2. Em Recursos, escolha recursos para adicionar ao compartilhamento de recursos da seguinte forma:

      • Em Selecionar tipo de recurso, selecione o tipo de recurso para compartilhar. Isso filtra a lista de recursos compartilháveis para os recursos do tipo selecionado.

      • Na lista de recursos resultante, marque as caixas de seleção ao lado dos recursos individuais que você deseja compartilhar. Os recursos selecionados são movidos para Recursos selecionados.

        Se você estiver compartilhando recursos associados a uma zona de disponibilidade específica, usar o ID da zona de disponibilidade (ID de AZ) ajudará a determinar a localização relativa desses recursos nas contas. Para obter mais informações, consulte IDs de zona de disponibilidade para seus AWS recursos.

    3. (Opcional) Para anexar tags ao compartilhamento de recursos, em Tags, insira uma chave e um valor de tag. Adicione outras escolhendo Adicionar nova tag. Repita esta etapa conforme necessário. Essas tags se aplicam somente ao compartilhamento de recursos em si, não aos recursos no compartilhamento de recursos.

  5. Escolha Próximo.

  6. Na Etapa 2: Associar uma permissão gerenciada a cada tipo de recurso, você pode escolher associar uma permissão gerenciada criada por AWS ao tipo de recurso, escolher uma permissão gerenciada pelo cliente existente ou criar sua própria permissão gerenciada pelo cliente para os tipos de recursos compatíveis. Para obter mais informações, consulte Tipos de permissões gerenciadas.

    Escolha Criar permissão gerenciada pelo cliente para criar uma permissão gerenciada pelo cliente que atenda aos requisitos do seu caso de uso de compartilhamento. Para ter mais informações, consulte Criar uma política gerenciada pelo cliente. Depois de concluir o processo, escolha Refresh icon e selecione sua nova permissão gerenciada pelo cliente na lista suspensa Permissões gerenciadas.

    nota

    Se a permissão gerenciada selecionada tiver várias versões, o AWS RAM anexará automaticamente a versão padrão. Você pode anexar somente a versão designada como padrão.

    Para exibir as ações que a permissão gerenciada permite, expanda Exibir o modelo de política dessa permissão gerenciada.

  7. Escolha Próximo.

  8. Na Etapa 3: Conceder acesso às entidades principais, faça o seguinte:

    1. Por padrão, Permitir compartilhamento com qualquer pessoa está selecionado, o que significa que, para os tipos de recursos que o suportam, você pode compartilhar recursos com pessoas Contas da AWS que estão fora da sua organização. Isso não afeta os tipos de recursos que podem ser compartilhados somente dentro de uma organização, como VPC sub-redes da Amazon. Você também pode compartilhar alguns tipos de recursos compatíveis com IAM funções e usuários.

      Para restringir o compartilhamento de recursos somente a contas e entidades principais em sua organização, escolha Permitir compartilhamento somente dentro de sua organização.

    2. Para entidades principais, faça o seguinte:

      • Para adicionar a organização, uma unidade organizacional (OU) ou uma Conta da AWS que faça parte de uma organização, ative Exibir estrutura organizacional. Isso exibe uma visualização em árvore da sua organização. Em seguida, marque a caixa de seleção ao lado de cada principal que você deseja adicionar.

        Importante

        Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades principais na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos AWS RAM anexada a cada recurso no compartilhamento usa. "Principal": "*" Para obter mais informações, consulte Implicações do uso da "Principal": "*" em uma política baseada em recursos.

        As entidades principais das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades principais apropriadas. Essas políticas devem conceder Allow acesso aos ARNs recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos.

        • Se você selecionar a organização (o ID começa com o-), as entidades principais de todas as Contas da AWS na organização poderão acessar o compartilhamento de recursos.

        • Se você selecionar uma OU (a ID começa comou-), os diretores de toda Contas da AWS a UO e seu filho OUs poderão acessar o compartilhamento de recursos.

        • Se você selecionar um indivíduo Conta da AWS, somente os diretores dessa conta poderão acessar o compartilhamento de recursos.

        nota

        A opção Exibir estrutura organizacional aparecerá somente se o compartilhamento com o AWS Organizations estiver ativado e você estiver conectado à conta de gerenciamento da organização.

        Você não pode usar esse método para especificar uma IAM função ou usuário Conta da AWS externo à sua organização. Em vez disso, você deve desativar Exibir estrutura organizacional e usar a lista suspensa e a caixa de texto para inserir a ID ouARN.

      • Para especificar um principal por ID ouARN, incluindo diretores que estão fora da organização, selecione o tipo principal para cada diretor. Em seguida, insira a ID (para uma Conta da AWS organização ou OU) ou ARN (para uma IAM função ou usuário) e escolha Adicionar. Os principais tipos, IDs e ARN formatos disponíveis são os seguintes:

        • Conta da AWS— Para adicionar um Conta da AWS, insira o ID da conta de 12 dígitos. Por exemplo:

          123456789012

        • Organização — Para adicionar todos os Contas da AWS da sua organização, insira o ID da organização. Por exemplo:

          o-abcd1234

        • Unidade organizacional (OU): para adicionar uma OU, insira a ID da OU. Por exemplo:

          ou-abcd-1234efgh

        • IAMfunção — Para adicionar uma IAM função, insira ARN a função. Use a seguinte sintaxe:

          arn:partition:iam::account:role/role-name

          Por exemplo:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          nota

          Para obter a exclusividade ARN de uma IAM função, visualize a lista de funções no IAM console, use o AWS CLI comando get-role ou a GetRoleAPIação.

        • IAMusuário — Para adicionar um IAM usuário, insira o ARN do usuário. Use a seguinte sintaxe:

          arn:partition:iam::account:user/user-name

          Por exemplo:

          arn:aws:iam::123456789012:user/bob

          nota

          Para obter o exclusivo ARN para um IAM usuário, visualize a lista de usuários no IAM console, use o get-user AWS CLI comando, ou o GetUserAPIação.

      • Entidade principal de serviço: para adicionar uma entidade principal de serviço, escolha Entidade principal de serviço na caixa Selecionar do tipo de entidade principal. Insira o nome da entidade principal do serviço da AWS . Use a seguinte sintaxe:

        • service-id.amazonaws.com

          Por exemplo:

          pca-connector-ad.amazonaws.com

    3. Em Entidades principais selecionadas, verifique se as entidades principais que você especificou aparecem na lista.

  9. Escolha Próximo.

  10. Na Etapa 4: revisar e criar, revise os detalhes da configuração do seu compartilhamento de recursos. Para alterar a configuração de qualquer etapa, escolha o link que corresponde à etapa à qual você deseja voltar e faça as alterações necessárias.

  11. Depois de concluir a revisão do compartilhamento de recursos, escolha Criar compartilhamento de recursos.

    Pode levar alguns minutos para que as associações de entidades principais entre recurso e principal sejam concluídas. Permita que esse processo seja concluído antes de tentar usar o compartilhamento de recursos.

  12. É possível adicionar e remover recursos e entidades principais ou aplicar tags personalizadas ao recurso a qualquer momento. Você pode alterar a permissão gerenciada para tipos de recursos incluídos em seu compartilhamento de recursos, para aqueles tipos que oferecem suporte a mais do que a permissão gerenciada padrão. É possível excluir o recurso quando você não quiser mais compartilhar os recursos. Para obter mais informações, consulte Compartilhamento AWS de recursos pertencentes a você.

AWS CLI
Criar o compartilhamento de um recurso

Usar a create-resource-sharecomando. O comando a seguir cria um compartilhamento de recursos que é compartilhado com todos Contas da AWS na organização. O compartilhamento contém uma configuração de AWS License Manager licença e concede as permissões gerenciadas padrão para esse tipo de recurso.

nota

Se quiser usar uma permissão gerenciada pelo cliente com um tipo de recurso nesse compartilhamento de recursos, você pode usar uma permissão gerenciada pelo cliente existente ou criar uma nova permissão gerenciada pelo cliente. Anote a permissão gerenciada ARN para o cliente e, em seguida, crie o compartilhamento de recursos. Para obter mais informações, consulte Criar uma política gerenciada pelo cliente.

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}