本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与其他群组共享已验证访问群组 AWS 账户
当您与其他 AWS 账户共享您拥有的已验证访问群组时,您可以允许这些账户在群组中创建已验证访问终端节点。在其中创建 Verified Access 组的账户称为所有者账户。使用共享组的账户称为使用者账户。
下图说明了共享 Verified Access 组的好处。中央安全团队拥有账户 A。他们管理中的用户和群组 AWS IAM Identity Center,并管理提供内部应用程序访问权限所需的已验证访问资源,例如已验证访问信任提供者、已验证访问实例、已验证访问权限组和已验证访问策略。应用程序团队拥有账户 B。他们管理运行其内部应用程序所需的资源,例如负载均衡器、Auto Scaling 组、Amazon Route 53 中的 DNS 配置和来自 AWS Certificate Manager (ACM) 的 TLS 证书。在中央安全团队与账户 B 共享 Verified Access 组后,应用程序团队可以使用共享组创建 Verified Access 端点。根据中央安全团队为 Verified Access 组创建的策略,允许或拒绝对应用程序的访问。
注意事项
以下注意事项适用于共享 Verified Access 组。
所有者
-
要共享 Verified Access 组,用户必须具有以下权限:
ec2:PutResourcePolicy和ec2:DeleteResourcePolicy。 -
要共享 Verified Access 组,您必须是其所有者。您无法共享他人共享给您的 Verified Access 组。
-
如果您启用与贵企业中的账户共享,则无需使用邀请即可共享资源,例如 Verified Access 组。否则,使用者会收到邀请,且必须接受邀请才能访问共享组。要启用共享,请在组织的管理帐户中打开 AWS RAM 控制台中的 “设置”
页面,然后选择 “启用与之共享” AWS Organizations。 -
如果存在关联的 Verified Access 端点,则无法删除组。您可以在您的账户的 Verified Access 端点页面上查看使用者账户创建的端点。端点所有者的账户 ID 反映在端点证书的 Amazon 资源名称(ARN)中。
使用者
-
要查看与您共享的已验证访问权限组,请在控制台中打开已验证访问权限组页面,或致电describe-verified-access-groups
。所有者的账户 ID 将反映在组的所有者字段和 Amazon 资源名称(ARN)中。 -
创建 Verified Access 端点时,可以指定他人共享给您的任何 Verified Access 组。
-
您无法查看与共享组关联但不归您所有的端点。
-
如果 Verified Access 组的所有者删除了资源共享,则您无法在组中创建新的 Verified Access 端点。您在删除资源共享之前创建的任何 Verified Access 端点都不会受到资源共享删除的影响。但是,共享组的所有者可以删除您的端点。
资源共享
要共享 Verified Access 组,您必须将其添加到资源共享。资源共享指定要共享的资源以及可以使用共享资源的使用者。
使用控制台共享已验证访问权限组
在 https://console.aws.amazon.com/ram
上打开 AWS RAM 控制台。 -
如果贵企业没有资源共享,您可以创建一个。对于委托人,您可以选择整个组织、组织单位或特定 AWS 帐户。
-
选择资源共享,然后选择修改。
-
对于
Resources,选择 Verified Access 组作为资源类型,然后选择要共享的资源组。 -
选择跳至:查看并更新。
-
选择更新资源共享。
有关更多信息,请参阅《AWS RAM 用户指南》中的 Create a resource share。
