共用您的 AWS 資源 - AWS Resource Access Manager
在 中啟用資源共用 AWS Organizations建立資源共用

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用您的 AWS 資源

若要使用 共用您擁有的資源 AWS RAM,請執行下列動作:

備註

  • 與 AWS 帳戶 擁有資源之 外部的主體共用資源,不會變更套用至建立資源之帳戶內資源的許可或配額。

  • AWS RAM 是區域性服務。您共用的主體只能存取建立資源共用 AWS 區域 的 。

  • 有些資源有特殊考量和共用的先決條件。如需詳細資訊,請參閱可共用 AWS 的資源

在 中啟用資源共用 AWS Organizations

當您的帳戶由 管理時 AWS Organizations,您可以利用它來更輕鬆地共用資源。無論是否有 Organizations,使用者可以與個別帳戶共用。不過,如果您的帳戶位於組織中,則您可以與個別帳戶或組織或 OU 中的所有帳戶共用,而不必列舉每個帳戶。

若要在組織內共用資源,您必須先使用 AWS RAM 主控台或 AWS Command Line Interface (AWS CLI) 來啟用共用 AWS Organizations。當您在組織中共用資源時, AWS RAM 不會傳送邀請給委託人。組織中的主體可以存取共用資源,而無需交換邀請。

當您在組織中啟用資源共享時, 會 AWS RAM 建立稱為 的服務連結角色AWSServiceRoleForResourceAccessManager。此角色只能由 AWS RAM 服務擔任,並授予 AWS RAM 許可,以使用 AWS 受管政策 來擷取其所屬組織的相關資訊AWSResourceAccessManagerServiceRolePolicy

如果您不再需要與整個組織或 共用資源OUs,您可以停用資源共用。如需詳細資訊,請參閱停用資源共用 AWS Organizations

最低許可

若要執行下列程序,您必須以擁有下列許可的組織管理帳戶中的委託人身分登入:

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

要求

  • 只有在以組織的管理帳戶中的委託人身分登入時,才能執行這些步驟。

  • 組織必須啟用所有功能。如需詳細資訊,請參閱AWS Organizations 《 使用者指南中的啟用組織中的所有功能

重要

您必須使用 AWS RAM 主控台或 enable-sharing-with-aws-organization AWS CLI 命令 AWS Organizations 來啟用與 的共用。此可確保建立了 AWSServiceRoleForResourceAccessManager 服務連結角色。如果您使用 AWS Organizations 主控台或 enable-aws-service-access AWS CLI 命令 AWS Organizations 啟用 的信任存取,則不會建立AWSServiceRoleForResourceAccessManager服務連結角色,而且您無法在組織內共用資源。

Console
在您的組織中啟用資源共用

  1. 在 AWS RAM 主控台中開啟設定頁面。

  2. 選擇啟用與 共用 AWS Organizations,然後選擇儲存設定

AWS CLI
在您的組織中啟用資源共用

使用 enable-sharing-with-aws-organization 命令。

此命令可用於任何 AWS 區域,並可在 AWS RAM 支援 AWS Organizations 的所有區域中與 共用。

$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}

建立資源共用

若要共用您擁有的資源,請建立資源共用。下列為此程序的概觀:

  1. 新增您要共用的資源。

  2. 針對您在共用中包含的每個資源類型,指定用於該資源類型的受管許可

    • 您可以選擇其中一個可用的 AWS 受管許可、現有的客戶受管許可,或建立新的客戶受管許可。

    • AWS 建立受管許可 AWS ,以涵蓋標準使用案例。

    • 客戶受管許可可讓您自訂自己的受管許可,以符合您的安全和業務需求。

    注意

    如果選取的受管許可有多個版本,則 AWS RAM 會自動連接預設版本。您只能連接指定為預設值的版本。

  3. 指定您要存取資源的主體。

考量事項

  • 如果您稍後需要刪除包含在共用中的 AWS 資源,建議您先從任何包含該資源共用中移除資源,或刪除資源共用。

  • 您可以在資源共享中包含的資源類型列於 可共用 AWS 的資源

  • 只有在您擁有資源時,才能共用資源。您無法共用與您共用的資源。

  • AWS RAM 是區域性服務。當您與其他 中的主體共用資源時 AWS 帳戶,這些主體必須從建立資源 AWS 區域 的相同位置存取每個資源。對於支援的全域資源,您可以從該資源的服務主控台和工具支援的任何 AWS 區域 存取這些資源。您只能在 AWS RAM 指定的主區域美國東部 (維吉尼亞北部) 中檢視這類資源共享及其全域資源us-east-1和工具。如需 AWS RAM 和 全域資源的詳細資訊,請參閱 與全球資源相比,共享區域資源

  • 如果您共用的 帳戶是 中組織的一部分, AWS Organizations 且在您的組織中共用已啟用,則您共用的組織中的任何主體都會自動獲得資源共用的存取權,而無需使用邀請。您在組織內容外與其共用的帳戶中的委託人會收到加入資源共用的邀請,並且只有在他們接受邀請之後,才會獲得共用資源的存取權。

  • 如果您與服務委託人共用,則無法將任何其他委託人與資源共用建立關聯。

  • 如果共用是在屬於組織一部分的帳戶或主體之間,則組織成員資格的任何變更都會動態影響對資源共用的存取。

    • 如果您將 AWS 帳戶 新增至組織或可存取資源共享的 OU,則該新成員帳戶會自動存取資源共享。您共用的帳戶管理員接著可以將該共用中資源的存取權授予該帳戶中的個別主體。

    • 如果您從組織或可存取資源共享的 OU 中移除帳戶,則該帳戶中的任何主體會自動失去透過該資源共享存取的資源存取權。

    • 如果您直接與成員帳戶或成員帳戶中IAM的角色或使用者共用,然後從組織中移除該帳戶,則該帳戶中的任何主體都會失去透過該資源共用存取的資源存取權。

    重要

    當您與組織或 OU 共用,且該範圍包含擁有資源共用的帳戶時,共用帳戶中的所有主體會自動存取共用中的資源。授予的存取權是由與共用相關聯的受管許可所定義。這是因為 AWS RAM 連接到共用中每個資源的資源型政策使用 "Principal": "*"。如需詳細資訊,請參閱使用 的含意 "Principal": "*" 在資源型政策中

    其他耗用帳戶中的委託人不會立即存取共用的資源。其他帳戶的管理員必須先將身分型許可政策連接至適當的主體。這些政策必須授予 資源共用中個別資源ARNs的 Allow 存取權。這些政策中的許可不能超過與資源共用相關聯的受管許可中指定的許可。

  • 您只能將帳戶所屬的組織,以及OUs從該組織新增至資源共享。您無法將來自自己組織外部的 OUs或 組織以主體身分新增至資源共享。不過,您可以新增個人或 AWS 帳戶 支援的服務、IAM角色和來自組織外部的使用者,做為資源共用的主體。

    注意

    並非所有資源類型都可以與IAM角色和使用者共用。如需您可以與這些委託人共用之資源的相關資訊,請參閱 可共用 AWS 的資源

  • 對於下列資源類型,您有七天的時間接受邀請,以加入下列資源類型的共用。如果您在邀請過期之前不接受邀請,則會自動拒絕邀請。

    重要

    對於不在下列清單中的共用資源類型,您有 12 小時的時間接受加入資源共用的邀請。12 小時後,邀請會過期,且資源共享中的最終使用者主體會取消關聯。最終使用者無法再接受邀請。

    • Amazon Aurora – 資料庫叢集

    • Amazon EC2 – 容量保留和專用主機

    • AWS License Manager – 授權組態

    • AWS Outposts – 本機閘道路由表、前哨站和網站

    • Amazon Route 53 – 轉送規則

    • Amazon VPC – 客戶擁有IPv4的地址、字首清單、子網路、流量鏡射目標、傳輸閘道、傳輸閘道多點傳送網域

Console
建立資源共用

  1. 開啟 AWS RAM 主控台

  2. 由於 AWS RAM 資源共用存在於特定 中 AWS 區域, AWS 區域 請從主控台右上角的下拉式清單中選擇適當的 。若要查看包含全域資源的資源共用,您必須 AWS 區域 將 設定為美國東部 (維吉尼亞北部)、(us-east-1)。如需共用全域資源的詳細資訊,請參閱 與全球資源相比,共享區域資源。如果您想要在資源共享中包含全域資源,則必須選擇指定的主區域,美國東部 (維吉尼亞北部),us-east-1

  3. 如果您是新手 AWS RAM,請從首頁選擇建立資源共享。否則,請從我共用:資源共用頁面中選擇建立資源共用。 https://console.aws.amazon.com/ram/home#OwnedResourceShares:

  4. 步驟 1:指定資源共用詳細資訊中,執行下列動作:

    1. 針對名稱,輸入資源共用的描述性名稱。

    2. 資源下,選擇要新增至資源共用的資源,如下所示:

      • 對於選取資源類型,選擇要共用的資源類型。這會將可共用資源清單篩選為僅所選類型的資源。

      • 在產生的資源清單中,選取您要共用的個別資源旁的核取方塊。選取的資源會在選取的資源下移動。

        如果您要共用與特定可用區域相關聯的資源,則使用可用區域 ID (AZ ID) 可協助您判斷這些資源在帳戶之間的相對位置。如需詳細資訊,請參閱AWS資源的可用區域 ID

    3. (選用) 若要將標籤連接至資源共用,請在標籤下輸入標籤索引鍵和值。選擇新增標籤來新增其他標籤。視需要重複此步驟。這些標籤僅適用於資源共用本身,不適用於資源共用中的資源。

  5. 選擇 Next (下一步)

  6. 步驟 2:將受管許可與每個資源類型建立關聯,您可以選擇將 建立的受管許可 AWS 與資源類型建立關聯、選擇現有的客戶受管許可,或者您可以為支援的資源類型建立自己的客戶受管許可。如需詳細資訊,請參閱受管理的權限類型

    選擇建立客戶受管許可,以建構符合共用使用案例需求的客戶受管許可。如需詳細資訊,請參閱 建立客戶受管許可。完成程序後,請選擇 , Refresh icon 然後從受管許可下拉式清單中選擇您的新客戶受管許可

    注意

    如果選取的受管許可具有多個版本,則 AWS RAM 會自動連接預設版本。您只能連接指定為預設值的版本。

    若要顯示受管許可允許的動作,請展開檢視此受管許可的政策範本

  7. 選擇 Next (下一步)

  8. 步驟 3:授予主體存取權,執行下列動作:

    1. 根據預設,會選取允許與任何人共用,這表示對於支援該資源的那些資源類型,您可以與組織 AWS 帳戶 外部的資源共用資源。這不會影響只能在組織內共用的資源類型,例如 Amazon VPC子網路。您也可以與IAM角色和使用者共用一些支援的資源類型

      若要將資源共用限制為組織中的 帳戶和主體,請選擇僅允許在您的組織中共用

    2. 對於委託人,請執行下列動作:

      • 若要新增組織、組織單位 (OU) 或屬於組織的 AWS 帳戶 ,請開啟顯示組織結構。這會顯示組織的樹狀檢視。然後,選取您要新增的每個主體旁邊的核取方塊。

        重要

        當您與組織或 OU 共用,且該範圍包含擁有資源共用的帳戶時,共用帳戶中的所有主體會自動存取共用中的資源。授予的存取是由與共用相關聯的受管許可所定義。這是因為 AWS RAM 連接到共用中每個資源的資源型政策使用 "Principal": "*"。如需詳細資訊,請參閱使用 的含意 "Principal": "*" 在資源型政策中

        其他耗用帳戶中的委託人不會立即存取共用的資源。其他帳戶的管理員必須先將身分型許可政策連接至適當的主體。這些政策必須授予資源共享中個別資源ARNs的 Allow 存取權。這些政策中的許可不能超過與資源共用相關聯的受管許可中指定的許可。

        • 如果您選取組織 (ID 以 開頭o-),則組織中所有 AWS 帳戶 中的主體都可以存取資源共用。

        • 如果您選取 OU (ID 以 開頭ou-),則該 OU 及其子系 AWS 帳戶 中所有 中的主體OUs都可以存取資源共用。

        • 如果您選取個人 AWS 帳戶,則只有該帳戶中的主體可以存取資源共用。

        注意

        顯示組織結構切換只有在 AWS Organizations 已啟用與 共用,且您已登入組織的管理帳戶時才會顯示。

        您無法使用此方法指定組織 AWS 帳戶 外部的 ,或是IAM角色或使用者。反之,您必須關閉顯示組織結構,並使用下拉式清單和文字方塊來輸入 ID 或 ARN。

      • 若要依 ID 或 指定委託人ARN,包括組織外部的委託人,請針對每個委託人選取委託人類型。接著,輸入 ID (適用於 AWS 帳戶、組織或 OU) 或 ARN(適用於IAM角色或使用者),然後選擇新增。可用的委託人類型、ID 和ARN格式如下所示:

        • AWS 帳戶 – 若要新增 AWS 帳戶,請輸入 12 位數的帳戶 ID。例如:

          123456789012

        • 組織 – 若要新增 AWS 帳戶 組織中的所有 ,請輸入組織的 ID。例如:

          o-abcd1234

        • 組織單位 (OU) – 若要新增 OU,請輸入 OU 的 ID。例如:

          ou-abcd-1234efgh

        • IAM 角色 – 若要新增IAM角色,請輸入角色ARN的 。使用下列語法:

          arn:partition:iam::account:role/role-name

          例如:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          注意

          若要取得IAM角色ARN的唯一 ,請在 IAM主控台中檢視角色清單、使用 get-role AWS CLI 命令或 GetRoleAPI動作。

        • IAM user – 若要新增IAM使用者,請輸入使用者的 ARN 。使用下列語法:

          arn:partition:iam::account:user/user-name

          例如:

          arn:aws:iam::123456789012:user/bob

          注意

          若要ARN取得IAM使用者的唯一 ,請在 IAM主控台中檢視使用者清單,請使用 get-user AWS CLI 命令,或 GetUser API 動作。

      • 服務委託人 – 若要新增服務委託人,請從選取委託人類型下拉式清單中選擇服務委託人。 輸入 AWS 服務主體的名稱。使用下列語法:

        • service-id.amazonaws.com

          例如:

          pca-connector-ad.amazonaws.com

    3. 對於選取的委託人,請確認您指定的委託人出現在清單中。

  9. 選擇 Next (下一步)

  10. 步驟 4:檢閱和建立中,檢閱資源共享的組態詳細資訊。若要變更任何步驟的組態,請選擇與您要返回的步驟對應的連結,並進行必要的變更。

  11. 檢閱完資源共用後,請選擇建立資源共用

    資源和委託人可能需要幾分鐘的時間才能完成關聯。在您嘗試使用資源共用之前,請先完成此程序。

  12. 您可以隨時新增和移除資源和主體,或將自訂標籤套用至資源共用。您可以變更資源共用中包含的資源類型的受管許可,適用於支援超過預設受管許可的那些類型。當您不想再共用資源時,可以刪除資源共用。如需詳細資訊,請參閱分享您擁有的AWS資源

AWS CLI
建立資源共用

使用 create-resource-share 命令。下列命令會建立與 AWS 帳戶 組織中所有 共用的資源共用。共用包含 AWS License Manager 授權組態,並授予該資源類型的預設受管許可。

注意

如果您想要使用此資源共享中具有資源類型的客戶受管許可,您可以使用現有的客戶受管許可或建立新的客戶受管許可。記下客戶受管許可ARN的 ,然後建立資源共享。如需詳細資訊,請參閱建立客戶受管許可

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}