使用共享的 Route 53 配置文件 - Amazon Route 53
授予共享 Route 53 配置文件的权限共享 Route 53 配置文件的先决条件共享 Route 53 配置文件取消共享 Route 53 配置文件识别共享的 Route 53 配置文件对共享 Route 53 配置文件的责任和权限计费和计量实例限额

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用共享的 Route 53 配置文件

可以通过以下方式与其他账户共享配置文件:

  • 授予只读权限,这意味着其他账户可以使配置文件与其 VPC 关联。在这种情况下,所有 DNS 资源和配置都将在关联的 VPC 上生效。

  • 授予管理员权限。在这种情况下,拥有共享配置文件的账户可以修改配置文件,然后将配置文件与其 VPC 关联。所有者还可以创建客户托管权限,用于指定可以由使用者账户执行的操作。有关更多信息,请参阅《AWS RAM 用户指南》中的客户托管权限

Amazon Route 53 与 AWS Resource Access Manager (AWS RAM) 集成,实现资源共享。AWS RAM 是一项服务,使您能够与其他 AWS 账户 或通过 AWS Organizations 共享一些 Route 53 资源。利用 AWS RAM,您可通过创建 资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可包括:

  • 特定 AWS 账户

  • AWS Organizations 中的所有者组织内部的组织单位

  • 它在 AWS Organizations 中的整个组织

有关 AWS RAM 的更多信息,请参阅 AWS RAM 用户指南

本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。

授予共享 Route 53 配置文件的权限

IAM 主体需要一组最低权限才能共享配置文件。我们建议使用 AmazonRoute53ProfilesFullAccess 托管 IAM 策略,确保 IAM 主体拥有共享和使用所共享配置文件的必需权限。

如果使用自定义 IAM 策略,则需要进行 route53profiles:GetProfilePolicyroute53profiles:PutProfilePolicy 操作。这些是仅限权限的 IAM 操作。如果 IAM 主体未获得这些权限,则在尝试使用 AWS RAM 服务共享配置文件时会出错。

共享 Route 53 配置文件的先决条件

  • 要共享 Route 53 配置文件,必须在 AWS 账户 中拥有该配置文件。这意味着资源必须分配或预调配到您的账户。您无法共享已与您共享的 Route 53 配置文件。

  • 要与您的企业或 AWS Organizations 内的企业部门共享 Route 53 配置文件,您必须允许与 AWS Organizations 共享。有关更多信息,请参阅AWS RAM《用户指南》中的允许与 AWS Organizations 共享。

共享 Route 53 配置文件

当您与其他 AWS 账户 共享所拥有的配置文件时,可以让他们将此配置文件的 DNS 相关设置应用于其 VPC。这样可以更轻松地在数千个 VPC 上应用统一的 DNS 配置,并且管理开销最小。

要共享 Route 53 配置文件,您必须将它添加到资源共享。资源共享是一项 AWS RAM 资源,可让您跨 AWS 账户 共享资源。资源共享指定要共享的资源以及与之共享资源的使用者。在使用 Route 53 控制台共享 Route 53 配置文件时,必须将它添加到现有资源共享。要将 Route 53 配置文件添加到新的资源共享,您必须首先使用 AWS RAM 控制台创建资源共享。

如果您是 AWS Organizations 中某组织的一部分并且已在您的组织中启用共享,组织中的使用者将自动获得对共享 Route 53 配置文件的访问权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后获得对共享 Route 53 配置文件的访问权限。

您可以在 Route 53 控制台上开始共享所拥有的 Route 53 配置文件,并在 AWS RAM 控制台上继续共享。

使用 Route 53 控制台共享所拥有的 Route 53 配置文件

  1. 登录 AWS Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择配置文件

  3. 选择要共享的配置文件,然后在配置文件详细信息页面上,选择管理共享

  4. 您将进入 AWS RAM 控制台,在那里您可以按照以下步骤操作:《AWS RAM 用户指南》中的创建资源共享

  5. 如果与您共享某个配置文件,则配置文件表中会包含“与我共享”文本。

    共享配置文件后,此配置文件将在配置文件表中列示为已共享

使用 AWS RAM 控制台共享您拥有的 Route 53 配置文件

请参阅《AWS RAM 用户指南》中的创建资源共享

使用 AWS CLI 共享您拥有的 Route 53 配置文件

使用 create-resource-share 命令。

取消共享 Route 53 配置文件

取消共享配置文件时,与此配置文件的配置关联的 VPC 将丢失这些配置,并默认为特定 VPC 的配置。

要取消共享您拥有的已共享 Route 53 配置文件,必须从资源共享中将其删除。您可以使用 Route 53 控制台、AWS RAM 控制台或 AWS CLI 完成此操作。

使用 Route 53 控制台取消共享您拥有的共享 Route 53 配置文件

  1. 登录 AWS Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择配置文件

  3. 选择要取消共享的配置文件的链接名称,然后在 <配置文件名称> 页面上选择管理共享

  4. 您将进入 AWS RAM 控制台,在那里您可以按照以下步骤操作:《AWS RAM 用户指南》中的更新资源共享

使用 AWS RAM 控制台取消共享您拥有的共享 Route 53 配置文件

请参阅《AWS RAM 用户指南》中的更新资源共享

使用 AWS CLI 取消共享您拥有的共享 Route 53 配置文件

使用 disassociate-resource-share 命令。

识别共享的 Route 53 配置文件

拥有者和使用者可以使用 Route 53 控制台和 AWS CLI 标识共享的 Route 53 配置文件。

使用 Route 53 控制台识别共享的 Route 53 配置文件

  1. 登录 AWS Management Console,并通过以下网址打开 Route 53 控制台:https://console.aws.amazon.com/route53/

  2. 在导航窗格中,选择配置文件

  3. 如果与您共享某个配置文件,则配置文件表中会包含“与我共享”文本。

    共享配置文件后,此配置文件将在配置文件表中列示为已共享

使用 AWS CLI 识别共享的 Route 53 配置文件

使用 get-profilelist-profile 命令。这些命令返回有关您所拥有的 Route 53 配置文件以及 Route 53 配置文件共享状态的信息。

对共享 Route 53 配置文件的责任和权限

拥有者的权限

配置文件所有者可以查看、管理和删除配置文件资源关联,包括由使用者账户建立的资源关联。所有者可以查看和删除其所拥有的 VPC 关联。此外,只有配置文件所有者才能删除其所拥有的配置文件,这也会自动删除此配置文件的所有资源关联。

使用者的权限

共享配置文件使用者的默认权限为只读权限。借助只读权限,使用者可以查看关联的资源并将其与 VPC 关联,但无法管理资源关联。

所有者还可以在 AWS RAM 控制台上创建客户托管权限。有关更多信息,请参阅《AWS RAM 用户指南》中的创建和使用客户托管权限

计费和计量

Route 53 配置文件按照 VPC 关联的数量计费。配置文件所有者负责支付使用者的 VPC 关联账单。

实例限额

配置文件的所有者和使用者具有相同的限额,但每个账户在某个区域中使用的 Route 53 配置文件数量除外。有关更多信息,请参阅 Route 53 配置文件中的配额