本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
CloudHSM AWS Resource Access Manager 与AWS RAM() 集成以实现资源共享。 AWS RAM 是一项使您能够与其他人或通过共享某些 CloudHSM 资源的服务。 AWS 账户 AWS Organizations使用 AWS RAM,您可以通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可包括:
-
具体在其组织 AWS 账户 内部或外部 AWS Organizations
-
其组织内部的组织单位 AWS Organizations
-
整个组织都在 AWS Organizations
有关的更多信息 AWS RAM,请参阅《AWS RAM 用户指南》。
本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。
共享备份的先决条件
-
要共享备份,您必须将其归自己所有 AWS 账户。这意味着资源必须分配或预调配到您的账户。无法共享已与您共享的备份。
-
要共享备份,备份必须处于就绪状态。
-
要与您的组织或 AWS Organizations内的组织单位共享备份,您必须允许与 AWS Organizations共享。有关更多信息,请参阅AWS RAM 《用户指南》中的允许与 AWS Organizations 共享。
共享备份
当您与其他人共享备份时 AWS 账户,您可以使他们能够从包含存储在备份中的密钥和用户的备份中恢复集群。
要共享备份,您必须将它添加到资源共享。资源共享是一项 AWS RAM 资源,可让您跨 AWS 账户共享资源。资源共享指定要共享的资源以及与之共享资源的使用者。在使用 CloudHSM 控制台共享备份时,必须将它添加到现有资源共享。要将备份添加到新的资源共享,您必须首先使用 AWS RAM
控制台
如果您是组织中的一员, AWS Organizations 并且启用了组织内部共享,则会自动授予组织中的消费者访问共享备份的权限。否则,使用者会收到加入资源共享的邀请,并在接受邀请后获得对共享备份的访问权限。
您可以使用 AWS RAM 控制台共享您拥有的备份,或者 AWS CLI。
使用 AWS RAM 控制台共享您拥有的备份
请参阅《AWS RAM 用户指南》中的创建资源共享。
共享您拥有的备份(AWS RAM 命令)
使用 create-resource-share 命令。
共享您拥有的备份(CloudHSM 命令)
重要
虽然您可以使用 Cloud PutResourcePolicy HSM 操作共享备份,但我们建议改 AWS Resource Access Manager 用AWS RAM()。使用 AWS RAM 提供了多种好处,因为它可以为您创建策略,允许同时共享多个资源,并提高共享资源的可发现性。如果您使用 PutResourcePolicy 并希望使用者能够描述您与他们共享的备份,则必须使用 AWS RAM PromoteResourceShareCreatedFromPolicy API 操作将备份提升为标准 AWS RAM 资源共享。
使用 put-resource-policy 命令。
-
创建一个名为
policy.json的文件,并将以下策略复制到该文件中。{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS":"<consumer-aws-account-id-or-user>" }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"<arn-of-backup-to-share>" }] } -
使用项目 ARN 和标识符更新
policy.json以进行共享。以下示例向根用户授予由 123456789012 标识的 AWS 账户的只读访问权限。{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS": [ "account-id" ] }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123" }] }重要
您只能在账户 DescribeBackups 级别向授予权限。当您与其他客户共享备份时,任何在该账户中拥有 DescribeBackups 权限的委托人都可以描述该备份。
-
运行 put-resource-policy 命令。
$aws cloudhsmv2 put-resource-policy --resource-arn<resource-arn>--policy file://policy.json注意
此时,使用者可以使用备份,但它不会显示在带有共享参数的 DescribeBackups 响应中。接下来的步骤将介绍如何提升 AWS RAM 资源共享,以便将备份包含在响应中。
-
获取 AWS RAM 资源共享 ARN。
$aws ram list-resources --resource-owner SELF --resource-arns<backup-arn>这会返回与以下内容类似的响应:
{ "resources": [ { "arn": "<project-arn>", "type": "<type>", "resourceShareArn": "<resource-share-arn>", "creationTime": "<creation-time>", "lastUpdatedTime": "<last-update-time>" } ] }从响应中复制该
<resource-share-arn>值,以便在后续步骤中使用。 -
运行 AWS RAM promote-resource-share-created-from-policy 命令。
$aws ram promote-resource-share-created-from-policy --resource-share-arn<resource-share-arn> -
要验证资源共享是否已升级,可以运行 AWS RAM get-resource-shares命令。
$aws ram get-resource-shares --resource-owner SELF --resource-share-arns<resource-share-arn>提升策略后,响应中列出的
featureSet为STANDARD。这也意味着可以通过策略中的新账户来描述备份。
取消共享已共享的备份
当您取消共享资源时,消费者可能不再使用它来还原集群。消费者仍然能够访问他们从共享备份中还原的任何集群。
要取消共享您拥有的共享备份,必须从资源共享中将其删除。您可以使用 AWS RAM 控制台或执行此操作 AWS CLI。
使用控制台取消共享您拥有的共享备份 AWS RAM
请参阅《AWS RAM 用户指南》中的更新资源共享。
取消共享您拥有的共享备份(AWS RAM 命令)
使用 disassociate-resource-share 命令。
取消共享您拥有的共享备份(CloudHSM 命令)
使用 delete-resource-policy 命令。
$aws cloudhsmv2 delete-resource-policy --resource-arn<resource-arn>
识别共享备份
消费者可以使用 CloudHSM 控制台和 AWS CLI识别与他们共享的备份。
使用 CloudHSM 控制台识别与您共享的备份
在家中打开https://console.aws.amazon.com/cloudhsm/主 AWS CloudHSM
机。 -
要更改 AWS 区域,请使用页面右上角的区域选择器。
-
在导航窗格中,选择备份。
-
在表中,选择共享备份选项卡。
要识别与您共享的备份,请使用 AWS CLI
使用 describe-backups 和 --shared 参数返回与您共享的备份。
共享备份的权限
拥有者的权限
备份所有者可以描述和管理共享备份,也可以使用它来还原集群。
使用者的权限
备份消费者无法修改共享备份,但他们可以描述它并使用它来还原集群。
计费和计量
共享备份不会产生额外费用。
