分享您的AWS資源 - AWS Resource Access Manager
在中啟用資源共用 AWS Organizations建立資源共用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

分享您的AWS資源

若要共用您所擁有的資源AWS RAM,請執行下列動作:

備註

  • 與擁有AWS 帳戶該資源之外的主參與者共用資源並不會變更建立該資源的帳號內套用至資源的權限或配額。

  • AWS RAM是一項區域服務。與您共用的主參與者只能存取建立資源共用的AWS 區域資源共用。

  • 某些資源對於共用有特殊考量和先決條件。如需詳細資訊,請參閱可共享的 AWS 資源

在中啟用資源共用 AWS Organizations

當您的帳戶由管理時AWS Organizations,您可以利用它更輕鬆地共享資源。無論是否有「Organizations」,使用者都可以與個別帳戶共用。不過,如果您的帳戶位於組織中,則您可以與個別帳戶共用,或與組織或 OU 中的所有帳戶共用,而不必列舉每個帳戶。

若要共用組織內的資源,您必須先使用AWS RAM主控台或 AWS Command Line Interface (AWS CLI) 啟用與共用AWS Organizations。當您共用組織中的資源時,AWS RAM不會傳送邀請給主參與者。組織中的主參與者可以存取共用資源,而無需交換邀請。

當您在組織內啟用資源共用時,AWS RAM會建立名為AWSServiceRoleForResourceAccessManager的服務連結角色。此角色只能由AWS RAM服務擔任,並使用AWS受管理的原則AWS RAM授與擷取其所屬組織相關資訊的權限AWSResourceAccessManagerServiceRolePolicy

如果您不再需要與整個組織或 OU 共用資源,您可以停用資源共用。如需詳細資訊,請參閱停用資源共用 AWS Organizations

最低許可

若要執行下列程序,您必須以具有下列權限的組織管理帳戶中的主參與者身分登入:

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

需求
重要

您必須使用AWS RAM主控台或 enable-sharing-with-aws-組織AWS CLI命令啟用與共用功能。AWS Organizations此可確保建立了 AWSServiceRoleForResourceAccessManager 服務連結角色。如果您使用AWS Organizations主控台或 enable-aws-service-accessAWS CLI命令AWS Organizations來啟用受信任的存取,則不會建立AWSServiceRoleForResourceAccessManager服務連結角色,而且您無法共用組織內的資源。

Console
若要在組織內啟用資源共用

  1. 在主控台中開啟 「設定」 頁AWS RAM面。

  2. 選擇啟用與 AWS Organizations 共用,然後選擇儲存設定

AWS CLI
若要在組織內啟用資源共用

使用組enable-sharing-with-aws織命令。

此指令可用於任何項目AWS 區域,並可AWS Organizations在支援的所有區域中與共AWS RAM用。

$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}

建立資源共用

若要共用您擁有的資源,請建立資源共用。下列為此程序的概觀:

  1. 新增您要共用的資源。

  2. 針對您包含在共用中的每個資源類型,指定要用於該資源類型的受管理權限

    • 您可以選擇其中一個可用的AWS受管理權限、現有的客戶受管權限,或建立新的客戶受管理權限。

    • AWS受管理的權限是由建立,AWS以涵蓋標準使用案例。

    • 客戶受管權限可讓您量身打造自己的受管理權限,以符合您的安全性和業務需求。

    注意

    如果選取的受管理權限有多個版本,則AWS RAM會自動附加預設版本。您能附加指定為預設值的版本。

  3. 指定您要擁有資源存取權的主參與者。

考量事項

  • 如果您稍後需要刪除包含在共用中的AWS資源,建議您先從包含該資源的任何資源共用中移除該資源,或刪除資源共用。

  • 您可以在資源共用中包含的資源類型列於可共享的 AWS 資源

  • 只有在有資源的情況下,才能共用資源。您無法共享與您共享的資源。

  • AWS RAM是一項區域服務。當您與其他主參與者共用資源時AWS 帳戶,這些主參與者必須從建立資源時AWS 區域存取每個資源。對於支援的全域資源,您可以從AWS 區域該資源的服務主控台和工具所支援的任何資源存取這些資源。您只能在指定的本地區域美國東部 (維吉尼亞北部) 的AWS RAM主控台和工具中檢視此類資源共用及其全域資源us-east-1。如需AWS RAM和全域資源的詳細資訊,請參閱與全球資源相比,共享區域資源

  • 如果您共用的帳戶屬於組織中的一部分,AWS Organizations並且在組織內共用已啟用,則您共用的組織中的任何主參與者都會自動授與資源共用的存取權,而不會使用邀請。您在組織前後關聯之外共用的帳戶中的主參與者會收到加入資源共用的邀請,並且只有在他們接受邀請之後,才會授與共用資源的存取權。

  • 如果您與服務主體共用,則無法將任何其他主參與者與資源共用產生關聯。

  • 如果在屬於組織的帳號或主參與者之間共用,則對組織成員資格的任何變更都會動態影響對資源共用的存取。

    • 如果您新增AWS 帳戶至組織或具有資源共用存取權的 OU,則該新成員帳號會自動取得資源共用的存取權。然後,您所共用帳戶的管理員可以授與該帳戶中個別主參與者對該共用中資源的存取權。

    • 如果您從組織或具有資源共用存取權的 OU 中移除帳號,則該帳號中的任何主參與者會自動失去透過該資源共用存取之資源的存取權。

    • 如果您直接與成員帳戶或成員帳戶中的 IAM 角色或使用者共用,然後從組織中移除該帳戶,則該帳戶中的任何主體將無法存取透過該資源共用存取的資源。

    重要

    當您與組織或 OU 共用,且該範圍包含擁有資源共用的帳號時,共用帳戶中的所有主參與者都會自動取得共用中資源的存取權。授與的存取權由與共用關聯的受管理權限定義。這是因為AWS RAM附加至共用中每個資源的資源型政策會使"Principal": "*"用。如需詳細資訊,請參閱使用的含義"Principal": "*"在資源型政策中

    其他使用帳戶中的主參與者無法立即存取共用的資源。其他帳戶的管理員必須先將以識別為基礎的權限原則附加至適當的主體。這些策略必須授Allow予對資源共用中個別資源的 ARN 的存取權。這些策略中的權限不能超過與資源共用關聯的受管理權限中指定的權限。

  • 您只能新增您帳戶所屬的組織,以及該組織的 OU 新增至資源共用。您無法將自己組織外部的 OU 或組織新增至資源共用作為主參與者。不過,您可以針對支援AWS 帳戶的服務,將個別的 IAM 角色和使用者從組織外部新增為資源共用的主參與者。

    注意

    並非所有資源類型都可與 IAM 角色和使用者共用。如需可與這些主參與者共用之資源的相關資訊,請參閱可共享的 AWS 資源

  • 對於下列資源類型,您有七天的時間可以接受加入下列資源類型共用的邀請。如果您沒有在邀請到期前接受邀請,邀請就會自動拒絕。

    重要

    對於在下列清單中的共用資源類型,您有 12 小時的時間可以接受加入資源共用的邀請。在 12 小時後,邀請會過期,而且資源共用中的一般使用者主參與者會取消關聯。終端使用者無法再接受邀請。

    • Amazon Aurora-數據庫集群

    • Amazon EC2 — 容量保留和專用主機

    • AWS License Manager-許可證配置

    • AWS Outposts— 本地網關路由表,前哨站和站點

    • 亞馬遜路線 53 — 轉發規則

    • Amazon VPC — 客戶擁有的 IPv4 地址、首碼清單、子網路、流量鏡像目標、傳輸閘道、傳輸閘道多點傳送網域

Console
若要建立資源共用

  1. 開啟 AWS RAM 主控台

  2. 由於特定AWS RAM資源共用存在AWS 區域,因此請AWS 區域從主控台右上角的下拉式清單中選擇適當的共用。若要查看包含全域資源的資源共用率,您必須將設定AWS 區域為美國東部 (維吉尼亞北部)、(us-east-1)。如需共用全域資源的詳細資訊,請參閱與全球資源相比,共享區域資源。如果您想要在資源共用中包含全域資源,則必須選擇指定的本地區域美國東部 (維吉尼亞北部) us-east-1

  3. 如果您不熟悉AWS RAM,請從首頁選擇 [建立資源共用]。否則,請從「我共用:資源共用」頁面中選擇「建立資源共用」。

  4. 步驟 1:指定資源共用詳細資訊中,執行下列操作:

    1. 名稱中,輸入資源共用的描述性名稱。

    2. 在 [資源] 下,選擇要新增至資源共用的資源,如下所示:

      • [選取資源類型] 中,選擇要共用的資源類型。這會將可共用資源清單篩選為僅選取類型的資源。

      • 在產生的資源清單中,選取您要共用的個別資源旁邊的核取方塊。選取的資源會移至「選取的資源」下。

        如果您共用與特定可用區域相關聯的資源,則使用可用區域 ID (AZ ID) 可協助您判斷這些資源跨帳戶的相對位置。如需詳細資訊,請參閱AWS資源的可用區域 ID

    3. (選擇性) 若要將標籤附加至資源共用,請在「標」下輸入標籤鍵和值。選擇「新增標籤」以新增其他標籤。視需要重複此步驟。這些標籤僅適用於資源共用本身,而不適用於資源共用中的資源。

  5. 選擇下一步

  6. 步驟 2:將受管理權限與每個資源類型產生關聯,您可以選擇將由建立的受管理權限AWS與資源類型產生關聯,選擇現有的客戶受管權限,或者您可以為支援的資源類型建立自己的客戶受管權限。如需詳細資訊,請參閱受管理的權限類型

    選擇 [建立客戶管理權限],以建構符合共用使用案例需求的客戶受管理權限。如需詳細資訊,請參閱 建立客戶受管許可。完成程序後,選擇, Refresh icon 然後您可以從 [受管理的權限] 下拉式清單中選取新的客戶管理權限

    注意

    如果選取的受管理權限有多個版本,則AWS RAM會自動附加預設版本。您能附加指定為預設值的版本。

    若要顯示受管理權限允許的動作,請展開 [檢視此受管理權限的原則範本]。

  7. 選擇下一步

  8. 步驟 3:授與主參與者的存取權限中,執行下列動作:

    1. 依預設,會選取 [允許與任何人共用],也就是說,對於支援此功能的資源類型,您可AWS 帳戶以與組織外部的資源共用。這不會影響能在組織內共用的資源類型,例如 Amazon VPC 子網路。您也可以與 IAM 角色和使用者共用部分支援的資源類型

      若要將資源共用限制為僅限組織中的帳號和主參與者,請選擇 [僅允許在組織內共用]。

    2. 對於主參與者,請執行下列操作:

      • 若要新增組織、組織單位 (OU) 或屬於組織AWS 帳戶一部分的組織,請開啟顯示組織結構。這會顯示組織的樹狀檢視。然後,選取您要新增之每個主參與者旁邊的核取方塊。

        重要

        當您與組織或 OU 共用,且該範圍包含擁有資源共用的帳號時,共用帳戶中的所有主參與者都會自動取得共用中資源的存取權。授與的存取權由與共用關聯的受管理權限定義。這是因為AWS RAM附加至共用中每個資源的資源型政策會使"Principal": "*"用。如需詳細資訊,請參閱使用的含義"Principal": "*"在資源型政策中

        其他使用帳戶中的主參與者無法立即存取共用的資源。其他帳戶的管理員必須先將以識別為基礎的權限原則附加至適當的主體。這些策略必須授Allow予對資源共用中個別資源的 ARN 的存取權。這些策略中的權限不能超過與資源共用關聯的受管理權限中指定的權限。

        • 如果您選取組織 (ID 開頭為o-),則組織中的所有AWS 帳戶主參與者都可以存取資源共用。

        • 如果您選取 OU (ID 開頭為ou-),則該 OU 及其子系 OU AWS 帳戶 中的所有主參與者都可以存取資源共用。

        • 如果您選取個人AWS 帳戶,則只有該帳號中的主參與者可以存取資源共用。

        注意

        只有在啟用共用方式且您已登入組織AWS Organizations的管理帳戶時,才會顯示 [顯示組織結構] 切換。

        您無法使用此方法來指定組織AWS 帳戶外部或 IAM 角色或使用者。您必須關閉 [顯示組織結構],然後使用下拉式清單和文字方塊來輸入 ID 或 ARN。

      • 若要按 ID 或 ARN 指定主參與者 (包括組織外部的主參與者),然後針對每個主參與者選取主參與者類型。接下來,輸入 ID (針對AWS 帳戶、組織或 OU) 或 ARN (針對 IAM 角色或使用者),然後選擇 [新增]。可用的主參與者類型以及 ID 和 ARN 格式如下:

        • AWS 帳戶— 若要新增AWS 帳戶,請輸入 12 位數的帳號 ID。例如:

          123456789012

        • 組織 — 若要新增組織AWS 帳戶中的所有項目,請輸入組織的 ID。例如:

          o-abcd1234

        • 組織單位 (OU) — 若要新增 OU,請輸入 OU 的識別碼。例如:

          ou-abcd-1234efgh

        • IAM 角色 — 若要新增 IAM 角色,請輸入角色的 ARN。使用下列語法:

          arn:partition:iam::account:role/role-name

          例如:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          注意

          若要取得 IAM 角色的唯一 ARN,請在 IAM 主控台中檢視角色清單,使用 get-role AWS CLI 命令或 API 動作。GetRole

        • IAM 使用者 — 若要新增 IAM 使用者,請輸入使用者的 ARN。使用下列語法:

          arn:partition:iam::account:user/user-name

          例如:

          arn:aws:iam::123456789012:user/bob

          注意

          若要取得 IAM 使用者的唯一 ARN,請在 IAM 主控台中檢視使用者清單、使用get-userAWS CLI命令或 GetUserAPI 動作。

      • 服務主體 — 若要新增服務主體,請從 [選取主體類型] Dropbox 中選擇 [服務主體]。輸入AWS服務主體的名稱。使用下列語法:

        • service-id.amazonaws.com

          例如:

          pca-connector-ad.amazonaws.com

    3. 若為「選取的主參與者」,請確認您指定的主參與者出現在清單中。

  9. 選擇下一步

  10. 步驟 4:檢閱和建立中,檢閱資源共用的組態詳細資料。若要變更任何步驟的組態,請選擇與您要返回的步驟相對應的連結,然後進行必要的變更。

  11. 完成檢閱資源共用之後,請選擇 [建立資源共用]。

    資源和委託人可能需要幾分鐘的時間才能完成關聯。在嘗試使用資源共用之前,請允許此程序完成。

  12. 您可以隨時新增和移除資源和主參與者,或將自訂標籤套用至資源共用。您可以針對支援超過預設 Managed 權限的類型,變更資源共用中包含的資源類型的受管理權限。當您不想再共用資源時,您可以刪除資源共用。如需詳細資訊,請參閱分享您擁有的AWS資源

AWS CLI
若要建立資源共用

使用 create-resource-share 命令。下列指令會建立與組織AWS 帳戶中所有人共用的資源共用。共用包含AWS License Manager授權組態,並授與該資源類型的預設受管理權限。

注意

如果您想要在此資源共用中使用具有資源類型的客戶管理權限,您可以使用現有的客戶受管權限,或建立新的客戶受管權限。記下客戶管理權限的 ARN,然後建立資源共用。如需詳細資訊,請參閱 建立客戶受管許可

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}