本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用共享的 Route 53 配置文件
可以通过以下方式与其他账户共享配置文件:
+ 授予只读权限,这意味着其他账户可以将个人资料与其关联起来 VPCs。在这种情况下,所有 DNS 资源和配置都将在关联的 DNS 上生效 VPCs。
+ 授予管理员权限。在这种情况下,拥有共享个人资料的账户可以修改个人资料,然后将其与其关联起来 VPCs。所有者还可以创建客户托管权限,用于指定可以由使用者账户执行的操作。有关更多信息,请参阅*《AWS RAM 用户指南》*中的[客户托管权限](https://docs.aws.amazon.com//ram/latest/userguide/create-customer-managed-permissions.html)。
Amazon Route 53 配置文件与 AWS Resource Access Manager (AWS RAM) 集成以实现资源共享。 AWS RAM 是一项服务,可让您与其他人 AWS 账户 或通过共享某些 Route 53 资源 AWS Organizations。使用 AWS RAM,您可以通过创建资源共享来*共享您拥有的资源*。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可包括:
+ 具体 AWS 账户
+ 其组织内部的组织单位 AWS Organizations
+ 它的整个组织都在 AWS Organizations
有关的更多信息 AWS RAM,请参阅《*[AWS RAM 用户指南》](https://docs.aws.amazon.com/ram/latest/userguide/)*。
本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。
**Topics**
+ [授予共享 Route 53 配置文件的权限](#sharing-prereqs)
+ [共享 Route 53 配置文件的先决条件](#sharing-prereqs)
+ [共享 Route 53 配置文件](#sharing-share)
+ [取消共享 Route 53 配置文件](#sharing-unshare)
+ [识别共享的 Route 53 配置文件](#sharing-identify)
+ [对共享 Route 53 配置文件的责任和权限](#sharing-perms)
+ [计费和计量](#sharing-billing)
+ [实例限额](#sharing-quotas)
## 授予共享 Route 53 配置文件的权限
IAM 主体需要一组最低权限才能共享配置文件。我们建议使用 `AmazonRoute53ProfilesFullAccess` 托管 IAM 策略,确保 IAM 主体拥有共享和使用所共享配置文件的必需权限。
如果使用自定义 IAM 策略,则需要进行 `route53profiles:GetProfilePolicy` 和 `route53profiles:PutProfilePolicy` 操作。这些是仅限权限的 IAM 操作。如果 IAM 委托人未获得这些权限,则在尝试使用该 AWS RAM 服务共享个人资料时会出错。
## 共享 Route 53 配置文件的先决条件
+ 要共享 Route 53 个人资料,您必须在自己的账户中拥有该档案 AWS 账户。这意味着资源必须分配或预调配到您的账户。您无法共享已与您共享的 Route 53 配置文件。
+ 要与您的企业或 AWS Organizations内的企业部门共享 Route 53 配置文件,您必须允许与 AWS Organizations共享。有关更多信息,请参阅《AWS RAM 用户指南》**中的[在 AWS Organizations中启用资源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
## 共享 Route 53 配置文件
当您与他人共享您拥有的个人资料时 AWS 账户,您可以让他们将该个人资料中与 DNS 相关的设置应用于他们 VPCs。这样可以更轻松地在成千上万个服务器上应用统一的 DNS 配置, VPCs 同时将管理开销降至最低。
要共享 Route 53 配置文件,您必须将它添加到资源共享。资源共享是一项 AWS RAM 资源,可让您跨 AWS 账户共享资源。资源共享指定要共享的资源以及与之共享资源的使用者。在使用 Route 53 控制台共享 Route 53 配置文件时,必须将它添加到现有资源共享。要将 Route 53 配置文件添加到新的资源共享,您必须首先使用 [AWS RAM 控制台](https://console.aws.amazon.com/ram)创建资源共享。
如果您是组织中的一员, AWS Organizations 并且启用了组织内部共享,则组织中的用户将自动获得访问共享的 Route 53 个人资料的权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后获得对共享 Route 53 配置文件的访问权限。
您可以开始在 Route 53 控制台上共享您拥有的 Route 53 配置文件,然后继续在控制 AWS RAM 台上继续共享。
**使用 Route 53 控制台共享所拥有的 Route 53 配置文件**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 选择要共享的配置文件,然后在**配置文件详细信息**页面上,选择**共享配置文件**。
1. 您将进入 AWS RAM 控制台,在那里您可以按照以下步骤操作:在*AWS RAM 用户指南*中[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)。
1. 如果与您共享某个配置文件,则**配置文件**表中会包含“**与我共享**”文本。
共享配置文件后,此配置文件将在**配置文件**表中列示为**已共享**。
**使用 AWS RAM 控制台共享您拥有的 Route 53 配置文件**
请参阅《AWS RAM 用户指南》**中的[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)。
**要共享您拥有的 Route 53 配置文件,请使用 AWS CLI**
使用 [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 命令。
## 取消共享 Route 53 配置文件
当您取消共享配置文件时,如果 VPCs 该配置文件与其配置文件相关联,则这些配置文件将丢失,并默认为特定于 VPC 的配置。
要取消共享您拥有的已共享 Route 53 配置文件,必须从资源共享中将其删除。您可以使用 Route 53 控制台、 AWS RAM 控制台或 AWS CLI完成此操作。
**使用 Route 53 控制台取消共享您拥有的共享 Route 53 配置文件**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 选择要取消共享的配置文件的链接名称,然后在 **<配置文件名称>** 页面上选择**管理共享**。
1. 您将进入 AWS RAM 控制台,在那里您可以按照以下步骤操作:[更新*AWS RAM 用户指南*中的资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。
**使用控制台取消共享您拥有的共享 Route 53 配置文件 AWS RAM**
请参阅《AWS RAM 用户指南》**中的[更新资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。
**要取消共享您拥有的共享 Route 53 配置文件,请使用 AWS CLI**
使用 [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 命令。
## 识别共享的 Route 53 配置文件
拥有者和使用者可以使用 Route 53 控制台和 AWS CLI标识共享的 Route 53 配置文件。
**使用 Route 53 控制台识别共享的 Route 53 配置文件**
1. 登录 AWS 管理控制台 并打开 Route 53 控制台,网址为[https://console.aws.amazon.com/route53/](https://console.aws.amazon.com/route53/)。
1. 在导航窗格中,选择**配置文件**。
1. 如果与您共享某个配置文件,则**配置文件**表中会包含“**与我共享**”文本。
共享配置文件后,此配置文件将在**配置文件**表中列示为**已共享**。
**要识别共享的 Route 53 配置文件,请使用 AWS CLI**
使用 [get-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/route53profiles/get-profile.html) 或 [list-profile](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/_route53profiles/list-profile.html) 命令。这些命令返回有关您所拥有的 Route 53 配置文件以及 Route 53 配置文件共享状态的信息。
## 对共享 Route 53 配置文件的责任和权限
### 拥有者的权限
配置文件所有者可以查看、管理和删除配置文件资源关联,包括由使用者账户建立的资源关联。所有者可以查看和删除其所拥有的 VPC 关联。此外,只有配置文件所有者才能删除其所拥有的配置文件,这也会自动删除此配置文件的所有资源关联。
**注意**
您必须创建自定义管理权限,该权限除了默认操作外,还应包含将配置文件共享到的账户中的任何资源关联起来的 `route53profiles:AssociateResourceToProfile` 操作,因为默认策略 `AWSRAMPermissionRoute53ProfileAllowAssociation` 不包含此操作。
### 使用者的权限
共享配置文件使用者的默认权限为只读权限。凭借只读权限,他们可以查看关联的资源并将其与之关联 VPCs,但无法管理资源关联。
所有者还可以在 AWS RAM 控制台上创建客户托管权限。有关更多信息,请参阅*《AWS RAM 用户指南》*中的[创建和使用客户托管权限](https://docs.aws.amazon.com/ram/latest/userguide/create-customer-managed-permissions.html)。
## 计费和计量
Route 53 配置文件按照 VPC 关联的数量计费。配置文件所有者负责支付使用者的 VPC 关联账单。
## 实例限额
配置文件的所有者和使用者具有相同的限额,但每个账户在某个区域中使用的 Route 53 配置文件数量除外。有关更多信息,请参阅 [Route 53 配置文件中的配额](DNSLimitations.md#limits-api-entities-route53-profiles)。