本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon VPC Lattice 与 AWS Resource Access Manager (AWS RAM) 集成,可实现服务、资源配置和服务网络的共享。 AWS RAM 是一项服务,可让您与其他实体 AWS 账户 或通过 AWS Organizations其他实体共享某些VPC Lattice实体。使用 AWS RAM,您可以通过创建资源共享来共享您拥有的实体。资源共享指定要共享的实体以及要与之共享的消费者。使用者可包括:
-
具体在其组织 AWS 账户 内部或外部 AWS Organizations。
-
AWS Organizations中其组织内部的组织单元。
-
AWS Organizations中的整个组织。
有关的更多信息 AWS RAM,请参阅《AWS RAM 用户指南》。
共享 VPC 莱迪思实体的先决条件
-
要共享实体,您必须在自己的实体中拥有该实体 AWS 账户。这意味着必须在您的账户中分配或配置该实体。您无法共享已与您共享的实体。
-
要与您的组织或中的组织单位共享实体 AWS Organizations,必须启用与共享 AWS Organizations。有关更多信息,请参阅《AWS RAM 用户指南》中的允许在 AWS Organizations内共享资源。
共享 VPC 莱迪思实体
要共享实体,请先使用创建资源共享 AWS Resource Access Manager。资源共享指定要共享的实体、与之共享的使用者以及委托人可以执行的操作。
当您与其他人共享您拥有的VPC Lattice实体时 AWS 账户,您可以允许这些账户将其实体与您账户中的实体相关联。当您针对共享实体创建关联时,我们会在实体所有者账户和创建该关联的账户中生成一个 Amazon 资源名称 (ARN)。因此,实体所有者和创建关联的账户都可以删除关联。
如果您是组织中的一员, AWS Organizations 并且启用了组织内部共享,则会自动授予组织中的消费者访问该共享实体的权限。否则,消费者会收到加入资源共享的邀请,并在接受邀请后获得访问共享实体的权限。
注意事项
-
您可以共享三种类型的VPC Lattice实体:服务网络、服务和资源配置。
-
您可以与任何 AWS 账户人共享您的VPC莱迪思实体。
-
您不能与个人 IAM 用户和角色共享您的 VPC 莱迪思实体。
-
VPC Lattice支持客户管理服务、资源配置和服务网络的权限。
使用VPC Lattice控制台共享您拥有的实体
打开位于 https://console.aws.amazon.com/vpc/
的 Amazon VPC 控制台。 -
在导航窗格的 VPC Lattice 下,选择服务、服务网络或资源配置。
-
选择实体名称以打开其详细信息页面,然后从 “共享” 选项卡中选择 “共享服务”、“共享服务网络” 或 “共享资源配置”。
-
从 AWS RAM 资源共享中选择资源共享。要创建资源共享,请选择在 RAM 控制台中创建资源共享。
-
选择共享服务、共享服务网络或共享资源配置。
使用 AWS RAM 控制台共享您拥有的实体
按照《AWS RAM 用户指南》中的创建资源共享中描述的过程操作。
要共享您拥有的实体,请使用 AWS CLI
使用 associate-resource-share
停止共享 VPC 莱迪思实体
要停止共享您拥有的 VPC Lattice 实体,必须将其从资源共享中移除。停止共享实体后,现有关联仍然存在。不允许与先前共享的实体建立新关联。当实体所有者或协会所有者删除关联时,该关联将从两个账户中删除。如果账户所有者想要离开资源共享,他们必须要求资源共享的所有者将其账户从与之共享该资源的账户列表中删除。
使用 VPC Lattice 控制台停止共享您拥有的实体
打开位于 https://console.aws.amazon.com/vpc/
的 Amazon VPC 控制台。 -
在导航窗格的 VPC Lattice 下,选择服务、服务网络或资源配置。
-
选择实体的名称以打开其详细信息页面。
-
在共享选项卡上,选中资源共享的复选框,然后选择删除。
使用 AWS RAM 控制台停止共享您拥有的实体
请参阅《AWS RAM 用户指南》中的更新资源共享。
要停止共享您拥有的实体,请使用 AWS CLI
使用 disassociate-resource-share
责任和权限
使用共享 VPC Lattice 实体时,以下责任和权限适用。
实体所有者
-
服务网络所有者不能修改使用者创建的服务。
-
服务网络所有者不能删除使用者创建的服务。
-
服务网络所有者可以描述服务网络的所有服务关联。
-
服务网络所有者可以解除与服务网络关联的任何服务的关联,无论创建关联的人员为何。
-
服务网络所有者可以描述服务网络的所有 VPC 关联。
-
服务网络所有者可以解除使用者与服务网络关联的任何 VPC 的关联。
-
服务网络所有者可以描述服务网络的所有资源配置关联。
-
无论谁创建了关联,服务网络所有者都可以取消与服务网络关联的任何资源配置的关联。
-
服务网络所有者可以描述服务网络的所有端点关联。
-
无论谁创建了关联,服务网络所有者都可以取消与服务网络关联的任何端点的关联。
-
服务所有者可以描述与服务的所有服务网络关联。
-
服务所有者可将服务从与服务关联的任何服务网络中取消关联
-
资源配置所有者可以描述与资源配置的所有网络关联。
-
资源配置所有者可以取消资源配置与其关联的任何服务网络的关联。
-
VPC 终端节点所有者可以描述与其关联的服务网络。
-
VPC 终端节点所有者可以解除终端节点与服务网络的关联。
-
只有创建关联的账户才能更新服务网络和 VPC 之间的关联。
实体消费者
-
使用者无法删除他们未创建的服务或资源配置。
-
使用者只能取消与服务网络关联的服务或资源配置的关联。
-
消费者和网络所有者可以描述服务网络与服务或资源配置之间的所有关联。
-
使用者无法检索服务的服务信息或他们不拥有的资源配置的资源配置信息。
-
使用者可以描述与共享服务网络的所有服务关联和资源配置关联。
-
使用者可以将服务或资源配置与共享服务网络相关联。
-
使用者可以看到与共享服务网络的所有 VPC 关联。
-
使用者可以将 VPC 与共享服务网络关联。
-
消费者只能取消与服务网络关联 VPCs 的关联。
-
使用者可以创建服务网络 VPC 终端节点,将其的 VPC 连接到共享服务网络。
-
使用者只能删除他们为将其 VPC 连接到共享服务网络而创建的服务网络 VPC 终端节点。
-
共享服务的使用者无法将服务与非其拥有的服务网络关联。
-
共享服务网络的使用者无法关联非其拥有的 VPC 或服务。
-
共享资源配置的使用者无法将资源配置与他们不拥有的服务网络相关联。
-
共享服务网络的使用者无法关联他们不拥有的 VPC 或服务或资源配置。
-
消费者可以描述与他们共享的服务、服务网络或资源配置。
-
如果两个实体都与消费者共享,则消费者无法将其关联。
跨账户事件
当实体所有者和消费者对共享实体执行操作时,这些操作将在中 AWS CloudTrail记录为跨账户事件。
CreateServiceNetworkResourceAssociationBySharee-
当实体消费者与共享实体调CreateServiceNetworkResourceAssociation 用时,发送给实体所有者。如果调用者拥有资源配置,则该事件将发送给服务网络的所有者。如果调用方拥有服务网络,则该事件将发送给资源配置的所有者。
CreateServiceNetworkServiceAssociationBySharee-
当实体消费者与共享实体调CreateServiceNetworkServiceAssociation用时,发送给实体所有者。如果调用方拥有该服务,则事件将发送给服务网络所有者。如果调用方拥有该服务网络,则事件将发送给服务所有者。
CreateServiceNetworkVpcAssociationBySharee-
当实体消费者通过共享服务网络呼叫CreateServiceNetworkVpcAssociation时,发送给实体所有者。
DeleteServiceNetworkResourceAssociationByOwner-
当实体所有者DeleteServiceNetworkResourceAssociation 与共享实体通话时发送给关联所有者。如果调用者拥有资源配置,则该事件将发送给服务网络关联的所有者。如果调用者拥有服务网络,则事件将发送给资源关联的所有者。
DeleteServiceNetworkResourceAssociationBySharee-
当实体消费者与共享实体调DeleteServiceNetworkResourceAssociation 用时,发送给实体所有者。如果调用者拥有资源配置,则该事件将发送给服务网络的所有者。如果调用方拥有服务网络,则该事件将发送给资源配置的所有者。
DeleteServiceNetworkServiceAssociationByOwner-
当实体所有者DeleteServiceNetworkServiceAssociation与共享实体通话时发送给关联所有者。如果调用方拥有该服务,则事件将发送给服务网络关联所有者。如果调用方拥有该服务网络,则事件将发送给服务关联所有者。
DeleteServiceNetworkServiceAssociationBySharee-
当实体消费者与共享实体调DeleteServiceNetworkServiceAssociation用时,发送给实体所有者。如果调用方拥有该服务,则事件将发送给服务网络所有者。如果调用方拥有该服务网络,则事件将发送给服务所有者。
DeleteServiceNetworkVpcAssociationByOwner-
当实体所有者通过共享服务网络呼叫DeleteServiceNetworkVpcAssociation时,发送给协会所有者。
DeleteServiceNetworkVpcAssociationBySharee-
当实体消费者通过共享服务网络呼叫DeleteServiceNetworkVpcAssociation时,发送给实体所有者。
GetServiceBySharee-
当实体消费者使用共享服务调GetService用时,发送给实体所有者。
GetServiceNetworkBySharee-
当实体消费者通过共享服务网络呼叫GetServiceNetwork时,发送给实体所有者。
GetServiceNetworkResourceAssociationBySharee-
当实体消费者与共享实体调GetServiceNetworkResourceAssociation 用时,发送给实体所有者。如果调用者拥有资源配置,则该事件将发送给服务网络的所有者。如果调用方拥有服务网络,则该事件将发送给资源配置的所有者。
GetServiceNetworkServiceAssociationBySharee-
当实体消费者与共享实体调GetServiceNetworkServiceAssociation用时,发送给实体所有者。如果调用方拥有该服务,则事件将发送给服务网络所有者。如果调用方拥有该服务网络,则事件将发送给服务所有者。
GetServiceNetworkVpcAssociationBySharee-
当实体消费者通过共享服务网络呼叫GetServiceNetworkVpcAssociation时,发送给实体所有者。
以下是 CreateServiceNetworkServiceAssociationBySharee 事件的示例条目。
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-04-27T17:12:46Z",
"eventSource": "vpc-lattice.amazonaws.com",
"eventName": "CreateServiceNetworkServiceAssociationBySharee",
"awsRegion": "us-west-2",
"sourceIPAddress": "vpc-lattice.amazonaws.com",
"userAgent": "ec2.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"callerAccountId": "111122223333"
},
"requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
"eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
"readOnly": false,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
"ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}