本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudHSM 與 AWS Resource Access Manager (AWS RAM) 整合以啟用資源共用。 AWS RAM 是一項服務,可讓您與其他 AWS 帳戶 或透過 共用一些 CloudHSM 資源 AWS Organizations。您可以使用 AWS RAM建立資源共享,以共享您擁有的資源。資源共享指定要共用的資源,以及共用它們的消費者。消費者可包括:
-
中的特定組織 AWS 帳戶 內部或外部 AWS Organizations
-
中的組織單位 AWS Organizations
-
中的整個組織 AWS Organizations
如需詳細資訊 AWS RAM,請參閱 AWS RAM 使用者指南。
本主題說明如何共用您擁有的資源,以及如何使用與您共用的資源。
共用備份的先決條件
-
若要共用備份,您必須在 中擁有備份 AWS 帳戶。這表示必須在您的帳戶中配置或佈建資源。您無法共用已與您共用的備份。
-
若要共用備份,它必須處於 READY 狀態。
-
若要與 中的組織或組織單位共用備份 AWS Organizations,您必須啟用與 共用 AWS Organizations。如需詳細資訊,請參閱《AWS RAM 使用者指南》中的透過 AWS Organizations啟用共用。
共用備份
當您與其他人共用備份時 AWS 帳戶,您可以讓它們從備份還原叢集,其中包含存放在備份中的金鑰和使用者。
若要共用備份,您必須將其新增至資源共用。資源共用是可讓您在 AWS 帳戶之間共用資源的一種 AWS RAM 資源。資源共享指定要共用的資源,以及共用它們的消費者。當您使用 CloudHSM 主控台共用備份時,您可以將其新增至現有的資源共用。若要將備份新增至新的資源共享,您必須先使用 AWS RAM 主控台
如果您是 中組織的一部分, AWS Organizations 且已啟用組織內的共用,則組織中的消費者會自動獲得共用備份的存取權。否則,消費者會收到加入資源共享的邀請,並在接受邀請後授予共用備份的存取權。
您可以使用 AWS RAM 主控台或 共用您擁有的備份 AWS CLI。
使用 AWS RAM 主控台共用您擁有的備份
請參閱《AWS RAM 使用者指南》中的建立資源共享。
共用您擁有的備份 (AWS RAM 命令)
使用 create-resource-share 命令。
共用您擁有的備份 (CloudHSM 命令)
重要
雖然您可以使用 CloudHSM PutResourcePolicy 操作共用備份,但我們建議您改用 AWS Resource Access Manager (AWS RAM)。使用 可在為您建立政策時 AWS RAM 提供多項優點、允許一次共用多個資源,並提高共用資源的可探索性。如果您使用 PutResourcePolicy,並希望消費者能夠描述您與其共用的備份,您必須使用 AWS RAM PromoteResourceShareCreatedFromPolicy API 操作將備份提升為標準 AWS RAM 資源共享。
使用 put-resource-policy 命令。
-
建立名為 的檔案,
policy.json並將下列政策複製到其中。{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS":"<consumer-aws-account-id-or-user>" }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"<arn-of-backup-to-share>" }] } -
policy.json使用備份 ARN 和識別符進行更新,以便與之共用。下列範例授予 123456789012 所識別 AWS 帳戶的根使用者的唯讀存取權。{ "Version":"2012-10-17", "Statement":[{ "Effect":"Allow", "Principal":{ "AWS": [ "account-id" ] }, "Action":[ "cloudhsm:CreateCluster", "cloudhsm:DescribeBackups"], "Resource":"arn:aws:cloudhsm:us-west-2:123456789012:backup/backup-123" }] }重要
您只能將許可授予帳戶層級的 DescribeBackups。當您與其他客戶共用備份時,在該帳戶中具有 DescribeBackups 許可的任何主體都可以描述備份。
-
執行 put-resource-policy 命令。
$aws cloudhsmv2 put-resource-policy --resource-arn<resource-arn>--policy file://policy.json注意
此時,消費者可以使用備份,但不會在 DescribeBackups 回應中顯示共用參數。後續步驟說明如何提升 AWS RAM 資源共享,以便將備份包含在回應中。
-
取得 AWS RAM 資源共享 ARN。
$aws ram list-resources --resource-owner SELF --resource-arns<backup-arn>這會傳回類似以下的回應:
{ "resources": [ { "arn": "<project-arn>", "type": "<type>", "resourceShareArn": "<resource-share-arn>", "creationTime": "<creation-time>", "lastUpdatedTime": "<last-update-time>" } ] }從回應中,複製要在後續步驟中使用的
<resource-share-arn>值。 -
執行 AWS RAM promote-resource-share-created-from-policy 命令。
$aws ram promote-resource-share-created-from-policy --resource-share-arn<resource-share-arn> -
若要驗證資源共享是否已提升,您可以執行 AWS RAM get-resource-shares 命令。
$aws ram get-resource-shares --resource-owner SELF --resource-share-arns<resource-share-arn>政策提升後,回應中
featureSet列出的 為STANDARD。這也表示備份可由政策中的新帳戶描述。
取消共用共用備份
當您取消共用資源時,消費者可能無法再使用它來還原叢集。消費者仍然可以存取從共用備份還原的任何叢集。
若要取消共用您擁有的共用備份,您必須將其從資源共用中移除。您可以使用 AWS RAM 主控台或 執行此操作 AWS CLI。
使用 AWS RAM 主控台取消共用您擁有的共用備份
請參閱《AWS RAM 使用者指南》中的更新資源共享。
取消共用您擁有的共用備份 (AWS RAM 命令)
使用 disassociate-resource-share 命令。
取消共用您擁有的共用備份 (CloudHSM 命令)
使用 delete-resource-policy 命令。
$aws cloudhsmv2 delete-resource-policy --resource-arn<resource-arn>
識別共用備份
消費者可以使用 CloudHSM 主控台和 來識別與其共用的備份 AWS CLI。
使用 CloudHSM 主控台識別與您共用的備份
在 https://https://console.aws.amazon.com/cloudhsm/home
開啟 AWS CloudHSM 主控台。 -
若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
-
在導覽窗格中,選擇備份。
-
在表格中,選擇共用備份索引標籤。
使用 識別與您共用的備份 AWS CLI
使用 describe-backups 命令搭配 --shared 參數來傳回與您共用的備份。
共用備份的許可
擁有者的許可
備份擁有者可以描述和管理共用備份,並使用它來還原叢集。
消費者的許可
備份取用者無法修改共用備份,但他們可以描述它,並使用它來還原叢集。
計費和計量
共用備份無需額外費用。
