本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 中更新資源共用 AWS RAM
您可以隨時 AWS RAM 以下列方式更新 中的資源共用:
-
您可以將主體、資源或標籤新增至您建立的資源共用。
-
對於支援超過預設 AWS 受管許可的資源類型,您可以選擇哪些受管許可適用於每種類型的資源。
-
當連接至資源共享的受管許可具有新的預設版本時,您可以更新受管許可以使用新版本。
-
您可以透過從資源共用中移除主體或資源,撤銷對共用資源的存取。如果您撤銷存取權,主體將無法再存取共用資源。
注意
如果共用是空的,或僅包含支援離開資源共用的資源類型,則與您共用資源的主體可以離開資源共用。如果資源共用包含不支援離開的資源類型,則會出現訊息,通知主體他們必須聯絡共用擁有者。在此情況下,身為資源共用擁有者的您必須從資源共用中移除主體。如需不支援此動作的資源類型清單,請參閱 離開資源共用的先決條件。
- Console
-
更新資源共用
-
導覽至 主控台中的 AWS RAM 共用:資源共用
頁面。 -
由於 AWS RAM 資源共用存在於特定 中 AWS 區域, AWS 區域 請從主控台右上角的下拉式清單中選擇適當的 。若要查看包含全域資源的資源共用,您必須 AWS 區域 將 設定為美國東部 (維吉尼亞北部)、(
us-east-1
)。如需共用全域資源的詳細資訊,請參閱與全球資源相比,共享區域資源。 -
選取資源共用,然後選擇修改。
-
在步驟 1:指定資源共用詳細資訊、檢閱資源共用詳細資訊,並視需要更新下列任何項目:
-
(選用) 若要變更資源共用的名稱,請編輯名稱。
-
(選用) 若要將資源新增至資源共用,請在資源下選擇資源類型,然後選取資源旁的核取方塊,將其新增至資源共用。只有當您在 中將區域設定為美國東部 (維吉尼亞北部)、 (
us-east-1
) 時,才會顯示全域資源 AWS Management Console。 -
(選用) 若要從資源共用中移除資源,請在選取的資源下尋找資源,然後選擇資源 ID 旁的 X。
-
(選用) 若要將標籤新增至資源共用,請在標籤下,在空白文字方塊中輸入標籤索引鍵和值。若要新增多個標籤索引鍵和值對,請選擇新增標籤。您最多可新增 50 個標籤。
-
若要從資源共用中移除標籤,請在標籤下找到標籤,然後選擇旁邊的移除。
-
-
選擇 Next (下一步)。
-
(選用) 在步驟 2:將受管許可與每個資源類型建立關聯,您可以選擇將 建立的受管許可 AWS 與資源類型建立關聯,選擇現有的客戶受管許可,或者您可以建立自己的客戶受管許可。如需詳細資訊,請參閱受管理的權限類型。
您也可以選擇建立客戶受管許可,以建構符合共用使用案例需求的客戶受管許可。如需詳細資訊,請參閱建立客戶受管許可。完成程序後,請選擇 ,然後從受管許可下拉式清單中選取您的新客戶受管許可。
若要顯示受管許可允許的動作,請展開檢視此受管許可的政策範本。
-
如果目前指派給資源共享的受管許可版本不是目前的預設版本,則您可以選擇更新為預設版本,以更新至預設版本。
注意
在最後步驟之後儲存資源共用的變更之前,您可以選擇還原至先前版本來取消版本更新。不過,對於 AWS 受管許可,在您儲存資源共享之後,變更即為最終變更,您無法再返回先前的版本。
-
選擇 Next (下一步)。
-
在步驟 3:選擇允許存取的主體、檢閱選取的主體,並視需要更新下列任何項目:
-
(選用) 若要變更是否已啟用與組織內外主體的共用,請選擇下列其中一個選項:
-
若要與組織外部的 AWS 帳戶 或個別IAM角色或使用者共用資源,請選擇允許與外部主體共用。
-
若要將資源共用限制為組織中的主體 AWS Organizations,請選擇僅允許與組織中的主體共用。
-
-
對於委託人,請執行下列動作:
-
(選用) 若要在 AWS 帳戶 組織內新增組織、組織單位 (OU) 或成員,請開啟顯示組織結構以顯示組織的樹狀檢視。然後選取您要新增的每個主體旁的核取方塊。
重要
當您與組織或 OU 共用,且該範圍包含擁有資源共用的帳戶時,共用帳戶中的所有主體會自動存取共用中的資源。授予的存取權是由與共用相關聯的受管許可所定義。這是因為 AWS RAM 連接到共用中每個資源的資源型政策使用
"Principal": "*"
。如需詳細資訊,請參閱使用的含義"Principal": "*"在資源型政策中。其他耗用帳戶中的委託人不會立即存取共用的資源。其他帳戶的管理員必須先將身分型許可政策連接至適當的主體。這些政策必須授予資源共享中個別資源ARNs的
Allow
存取權。這些政策中的許可不能超過與資源共用相關聯的受管許可中指定的許可。注意
顯示組織結構切換只有在 AWS Organizations 啟用與 共用,而且您以組織管理帳戶中的主體身分登入時才會顯示。
您無法使用此方法指定組織 AWS 帳戶 外部的 ,或是IAM角色或使用者。相反地,您必須輸入這些主體的識別符,這些識別符會顯示在顯示組織結構切換下方的文字方塊中。請參閱下一個項目符號點。
-
(選用) 若要依主體識別符新增主體,請從下拉式清單中選擇主體類型,然後輸入主體ARN的 ID 或 。最後,選擇新增。
如果您選取個人 AWS 帳戶,則只有該帳戶可以存取資源共用。您可以選擇下列其中一個選項。
-
其他 AWS 帳戶 (資源擁有者除外) – 讓資源可供其他 帳戶使用。該帳戶的管理員必須使用以身分為基礎的許可政策,將共用資源的存取權授予個別角色和使用者,以完成此程序。這些許可不能超過附加至資源共用的受管許可中定義的許可。
-
此 AWS 帳戶 (資源擁有者) – 資源擁有帳戶中的所有角色和使用者會自動接收附加至資源共用的受管許可所定義的存取權。
-
-
新增項目會立即顯示在選取的委託人清單中。
然後,您可以透過重複此步驟來新增其他帳戶OUs、 或您的組織。
-
(選用) 若要移除委託人,請在選取的委託人下找到委託人,選取其核取方塊,然後選擇取消選取。
-
-
-
選擇 Next (下一步)。
-
在步驟 4:檢閱和更新中,檢閱資源共用的組態詳細資訊。
-
若要變更任何步驟的組態,請選擇對應至您要返回之步驟的連結,然後進行必要的變更。
如果任何受管許可仍在使用預設版本以外的版本,您可以選擇更新為預設版本來解決此問題。
-
當您完成變更時,請選擇更新資源共用。
-
- AWS CLI
-
更新資源共用
您可以使用下列 AWS CLI 命令來修改資源共用:
-
若要重新命名資源共享,或變更是否允許外部主體,請使用 命令 update-resource-share。 下列範例會重新命名指定的資源共用,並將其設定為僅允許其組織的主體。您必須針對包含資源共用的 AWS 區域 使用服務端點。
$
aws ram update-resource-share \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \ --name "my-renamed-resource-share" \ --no-allow-external-principals
{ "resourceShare": { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "name": "my-renamed-resource-share", "owningAccountId": "123456789012", "allowExternalPrincipals": false, "status": "ACTIVE", "creationTime": 1565295733.282, "lastUpdatedTime": 1565303080.023 } }
-
若要將資源新增至資源共用,請使用 命令 associate-resource-share。 下列範例會將子網路新增至指定的資源共用。
$
aws ram associate-resource-share \ --region us-east-1 \ --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{ "resourceShareAssociations": [ "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235", "associationType": "RESOURCE", "status": "ASSOCIATING", "external": false ] }
-
若要在資源共用中新增或取代資源類型的受管許可,請使用 命令 list-permissions 和 associate-resource-share-permission。 在資源共用中,每個資源類型只能指派一個受管許可。如果您嘗試將受管許可新增至已有受管許可的資源類型,則必須包含
--replace
選項,否則命令會失敗並發生錯誤。下列範例命令會列出適用於 ARNs Amazon Elastic Compute Cloud (AmazonEC2) 子網路的受管許可的 ,然後使用其中一個ARNs來取代指定資源共用中該資源類型的目前指派 AWS 受管許可。
$
aws ram list-permissions \ --resource-type ec2:Subnet
{ "permissions": [ { "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet", "version": "1", "defaultVersion": true, "name": "AWSRAMDefaultPermissionSubnet", "resourceType": "ec2:Subnet", "creationTime": "2020-02-27T11:38:26.727000-08:00", "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00" } ] }
$
aws ram associate-resource-share-permission \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{ "returnValue": true }
-
若要從資源共用中移除資源,請使用 命令 disassociate-resource-share。 下列範例會從指定的資源共用中移除具有 的 Amazon ARN EC2子網路。
$
aws ram disassociate-resource-share \ --region us-east-1 \ --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{ "resourceShareAssociations": [ "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235", "associationType": "RESOURCE", "status": "DISASSOCIATING", "external": false ] }
-
若要修改連接至資源共享的標籤,請使用 命令 tag-resource 和 untag-resource。 下列範例會將標籤新增至
project=lima
指定的資源共用。$
aws ram tag-resource \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --tags key=project,value=lima
下列範例
project
會從指定的資源共用中移除索引鍵為 的標籤。$
aws ram untag-resource \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --tag-keys=project
標記命令成功時不會產生輸出。
-