本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
與另一個 共用 Verified Access 群組 AWS 帳戶
當您與其他 AWS 帳戶共用您擁有的 Verified Access 群組時,您可以讓這些帳戶在您的群組中建立 Verified Access 端點。在 中建立 Verified Access 群組的帳戶稱為擁有者帳戶。使用共用群組的帳戶稱為取用者帳戶。
下圖說明共用 Verified Access 群組的好處。中央安全團隊擁有帳戶 A。他們管理 中的使用者和群組 AWS IAM Identity Center,並管理提供存取內部應用程式所需的驗證存取資源,例如驗證存取信任提供者、驗證存取執行個體、驗證存取群組和驗證存取政策。應用程式團隊擁有帳戶 B。他們管理執行其內部應用程式所需的資源,例如負載平衡器、Auto Scaling 群組、Amazon Route 53 中的 DNS 組態,以及來自 AWS Certificate Manager (ACM) 的 TLS 憑證。在中央安全團隊與帳戶 B 共用 Verified Access 群組之後,應用程式團隊可以使用共用群組建立 Verified Access 端點。根據中央安全團隊為 Verified Access 群組建立的政策,允許或拒絕存取應用程式。
考量事項
下列考量適用於共用的 Verified Access 群組。
擁有者
-
若要共用 Verified Access 群組,使用者必須具有下列許可:
ec2:PutResourcePolicy和ec2:DeleteResourcePolicy。 -
若要共用 Verified Access 群組,您必須擁有該群組。您無法共用與您共用的 Verified Access 群組。
-
如果您啟用與組織中帳戶共用,則可以共用資源,例如 Verified Access 群組,而無需使用邀請。否則,消費者會收到邀請,且必須接受邀請才能存取共用群組。若要啟用共用,請從組織的管理帳戶開啟 AWS RAM 主控台中的設定
頁面,然後選擇啟用共用。 AWS Organizations -
如果有相關聯的 Verified Access 端點,則無法刪除群組。您可以在帳戶中的驗證存取端點頁面上檢視消費者帳戶建立的端點。端點擁有者的帳戶 ID 會反映在端點憑證的 Amazon Resource Name (ARN) 中。
消費者
-
若要檢視與您共用的已驗證存取群組,請在主控台中開啟已驗證存取群組頁面,或呼叫 describe-verified-access-groups
。擁有者的帳戶 ID 會反映在 擁有者欄位和 群組的 Amazon Resource Name (ARN) 中。 -
當您建立 Verified Access 端點時,您可以指定與您共用的任何 Verified Access 群組。
-
您無法檢視與共用群組相關聯的端點,但不是您擁有的端點。
-
如果 Verified Access 群組的擁有者刪除資源共用,您就無法在群組中建立新的 Verified Access 端點。您在刪除資源共享之前建立的任何 Verified Access 端點都不會受到資源共享刪除的影響。不過,共用群組的擁有者可以刪除您的端點。
資源共用
若要共用 Verified Access 群組,您必須將其新增至資源共用。資源共用會指定要共用的資源,以及可以使用共用資源的取用者。
使用主控台共用 Verified Access 群組
在 https://https://console.aws.amazon.com/ram
開啟 AWS RAM 主控台。 -
如果您沒有組織的資源共享,請建立一個。對於委託人,您可以選擇整個組織、組織單位或特定 AWS 帳戶。
-
選取您的資源共用,然後選擇修改。
-
針對
Resources,選擇驗證存取群組做為資源類型,然後選擇要共用的資源群組。 -
選擇跳到:檢閱和更新。
-
選擇更新資源共用。
如需詳細資訊,請參閱《AWS RAM 使用者指南》中的建立資源共用。
