更新中的資源共用AWS RAM - AWS Resource Access Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

更新中的資源共用AWS RAM

您可以透過下列方式隨AWS RAM時更新資源共用:

  • 您可以將主參與者、資源或標籤新增至您建立的資源共用。

  • 對於支援超過預設AWS受管理權限的資源類型,您可以選擇將哪些 Managed 權限套用至每種類型的資源。

  • 當附加至資源共用的受管理權限具有新的預設版本時,您可以更新 Managed 權限以使用新版本。

  • 您可以從資源共用中移除主參與者或資源,以撤銷對共用資源的存取權。如果您撤銷存取權,主參與者將無法再存取共用資源。

注意

如果共用空白或僅包含支援離開資源共用的資源類型,則與您共用資源的主參與者可以保留您的資源共用。如果資源共用包含不支援離開的資源類型,則會出現一則訊息,通知主參與者必須連絡共用擁有者。在此情況下,身為資源共用的擁有者,您必須從資源共用中移除主參與者。如需不支援此動作的資源類型清單,請參閱離開資源共用的先決條件

Console
更新資源共享

  1. 導覽至主控台中的 [由我共用:資源共用] 頁AWS RAM面。

  2. 由AWS RAM資源共享存在於特定AWS 區域,請AWS 區域從主控台的右上角的下拉式清單中選擇適當的。若要查看包含全域資源的資源共享,您必須AWS 區域將美國東部 (維吉尼亞北部),(us-east-1)。如需共用全域資源的詳細資訊,請參閱與全球資源相比,共享區域資源

  3. 選取資源共用,然後選擇 [修改]。

  4. 步驟 1:指定資源共用詳細資訊、檢閱資源共用詳細資訊,並視需要更新下列任一項目:

    1. (選用) 若要變更資源共享的名稱,請編輯名稱

    2. (選擇性) 若要將資源新增至資源共用,請在 [資源] 下選擇資源類型,然後選取資源旁邊的核取方塊,將其新增至資源共用。全域資源只有在中將區域設定為美國東部 (維吉尼亞北部),(),(us-east-1) 後,才會出現AWS Management Console。

    3. (選擇性) 若要從資源共用中移除資源,請在 [選取的資源] 下找到資源,然後選擇資源 ID 旁邊的 X

    4. (選用) 若要新增標籤至資源共享,請在標下,在空白文字方塊中輸入標籤金鑰和值。若要新增多個標籤鍵和值配對,請選擇 [新增標籤]。您最多可新增 50 個標籤。

    5. 若要從資源共用移除標籤,請在「標籤」下找到該標籤,然後選擇旁邊的「移除」。

  5. 選擇 下一步

  6. (選擇性) 在步驟 2:將受管理權限與每個資源類型產生關聯,您可以選擇將由建立的受管理權限AWS與資源類型產生關聯,選擇現有的客戶受管權限,或者您可以建立自己的客戶受管權限。如需詳細資訊,請參閱受管理的權限類型

    您也可以選擇 [建立客戶管理權限],以建構符合共用案例需求的客戶受管理權限。如需詳細資訊,請參閱建立客戶受管許可。完成程序後,選擇 Refresh icon ,然後您可以從 [受管理的權限] 下拉式清單中選取新的客戶管理權限

    若要顯示受管理權限允許的動作,請展開 [檢視此受管理權限的原則範本]。

  7. 如果目前指派給資源共用的受管理權限版本不是目前的預設版本,則您可以選擇 [更新為預設版本] 來更新為預設版本

    注意

    在完成最後一個步驟之後儲存對資源共用所做的變更之前,您可以選擇 [還原為舊版] 來取消版本更新。但是,對於AWS受管理的權限,在您儲存資源共用之後,變更為最終,您無法再回到先前的版本。

  8. 選擇 下一步

  9. 步驟 3:選擇允許存取的主參與者、複查所選主參與者,並視需要更新下列任一項目

    1. (選用) 若要變更是否啟用與組織內部或外部的主參與者共享,請選擇下列其中一項:

      • 若要與AWS 帳戶或個別 IAM 角色或組織外部的使用者共用資源,請選擇 [允許與外部主體共用]。

      • 若要將資源共用限制為僅在中組織中的主參與者AWS Organizations,請選擇「僅允許與組織中的主參與者共用」。

    2. 主參與者執行下列動作:

      • (選擇性) 若要新增組織、組織單位 (OU) 或組織AWS 帳戶內的成員,請開啟顯示組織結構以顯示組織的樹狀檢視。然後選取您要新增的每個主參與者旁邊的核取方塊。

        重要

        當您與組織或 OU 共用,且該範圍包含擁有資源共用的帳號時,共用帳戶中的所有主參與者都會自動取得共用中資源的存取權。授與的存取權由與共用關聯的受管理權限定義。這是因為AWS RAM附加至共用中每個資源的資源型政策會使用"Principal": "*"。如需詳細資訊,請參閱使用的含義"Principal": "*"在資源型政策中

        其他使用帳戶中的主參與者無法立即存取共用的資源。其他帳戶的管理員必須先將以識別為基礎的權限原則附加至適當的主體。這些策略必須授Allow予對資源共用中個別資源的 ARN 的存取權。這些策略中的權限不能超過與資源共用關聯的受管理權限中指定的權限。

        注意

        只有在已啟用共用,且您已在組織的管理帳戶中以主參與AWS Organizations者身分登入時,才會顯示「顯示組織結構」切換。

        您無法使用此方法來指定組織AWS 帳戶外部或 IAM 角色或使用者。相反地,您必須輸入這些主參與者的識別元來新增這些主參與者,識別元會顯示在「顯示組織結構」切換下方的文字方塊中。請參閱下一個 bullet 點。

      • (選擇性) 若要依其識別碼新增主參與者,請從下拉式清單中選擇主參與者類型,然後輸入主參與者的 ID 或 ARN。最後,選擇添加

        如果您選取個人AWS 帳戶,則只有該帳號可以存取資源共用。您可以選擇下列任一選項。

        • 另一個AWS 帳戶 (資源擁有者除外) — 使資源可供其他帳號使用。該帳號的管理員必須透過使用以身分識別為基礎的權限原則授與共用資源的存取權限給個別角色和使用者,以完成此程序。這些權限不能超過附加至資源共用的受管理權限中定義的權限。

        • 這個AWS 帳戶 (資源擁有者) — 資源擁有帳號中的所有角色和使用者都會自動接收由附加至資源共用的受管理權限所定義的存取權限。

      • 新增會立即顯示在「已選取的主參與者」清單中。

        然後,您可以重複此步驟來新增其他帳戶、OU 或組織。

      • (選擇性) 若要移除主參與者,請在「已選取的主參與者」下找到它,選取其核取方塊,然後選擇「取消選取」。

  10. 選擇 下一步

  11. 步驟 4:檢閱和更新中,檢閱資源共用的組態詳細資料。

  12. 若要變更任何步驟的組態,請選擇與您要返回的步驟對應的連結,然後進行必要的變更。

    如果有任何受管理的權限仍在使用預設版本以外的版本,您還有其他機會可以選擇更新為預設版本來解決此問題。

  13. 當您完成變更後,選擇更新資源共享

AWS CLI
更新資源共享

您可以使用下列AWS CLI命令來修改資源共享:

  • 若要重新命名資源共用,或變更是否允許外部主參與者,請使用指令update-resource-share。下列範例會重新命名指定的資源共用,並將其設定為僅允許來自其組織的主參與者。您必須針對包含資源共用AWS 區域的使用服務端點。

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • 若要將資源新增至資源共用,請使用指令associate-resource-share。下列範例會將子網路新增至指定的資源共用。

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • 若要為資源共用中的資源類型新增或取代受管理的權限,請使用指令list-permissionsassociate-resource-share-permission。資源共用中的每個資源類型只能指派一個受管理的權限。如果您嘗試將 Managed 權限新增至已有 Managed 權限的資源類型,則必須包含該--replace選項,否則命令會失敗並顯示錯誤。

    下列範例命令列出適用於 Amazon Elastic Compute Cloud (Amazon EC2) 子網路的受管許可的 ARN,然後使用其中一個 ARN 取代指定資源共用中該資源類型目前指派的AWS受管權限。

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • 若要從資源共用中移除資源,請使用指令disassociate-resource-share。下列範例會從指定的資源共用中移除具有指定 ARN 的 Amazon EC2 子網路。

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • 若要修改附加至資源共用的標籤,請使用指令tag-resourceuntag-resource。下列範例會將標籤新增project=lima至指定的資源共用。

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    下列範例會從指定的資源共用project中移除含索引鍵的標籤。

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    標籤化命令成功後就不會產生輸出。