Mettre à jour un partage de ressources dans AWS RAM - AWS Resource Access Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre à jour un partage de ressources dans AWS RAM

Vous pouvez mettre à jour un partage de ressources AWS RAM à tout moment de la manière suivante :

  • Vous pouvez ajouter des principes, des ressources ou des balises à un partage de ressources que vous avez créé.

  • Pour les types de ressources qui prennent en charge d'autres autorisations que l'autorisation AWS gérée par défaut, vous pouvez choisir l'autorisation gérée qui s'applique aux ressources de chaque type.

  • Lorsqu'une autorisation gérée attachée au partage de ressources possède une nouvelle version par défaut, vous pouvez mettre à jour l'autorisation gérée pour utiliser la nouvelle version.

  • Vous pouvez révoquer l'accès aux ressources partagées en supprimant les principaux ou les ressources d'un partage de ressources. Si vous révoquez l'accès, les principaux n'ont plus accès aux ressources partagées.

Note

Les principaux avec lesquels vous partagez des ressources peuvent quitter votre partage de ressources si celui-ci est vide ou contient uniquement des types de ressources compatibles avec le fait de quitter un partage de ressources. Si le partage de ressources contient des types de ressources qui ne sont pas compatibles avec le départ, un message s'affiche pour informer les principaux qu'ils doivent contacter le propriétaire du partage. Dans ce cas, en tant que propriétaire du partage de ressources, vous devez supprimer les principaux de votre partage de ressources. Pour obtenir la liste des types de ressources qui ne prennent pas en charge cette action, consultezConditions préalables pour quitter un partage de ressources.

Console
Pour mettre à jour un partage de ressources

  1. Accédez à la page Shared by me : partage de ressources dans la AWS RAM console.

  2. Étant donné que les partages de AWS RAM ressources existent de manière spécifique Régions AWS, choisissez le partage approprié Région AWS dans la liste déroulante située dans le coin supérieur droit de la console. Pour voir les partages de ressources contenant des ressources globales, vous devez Région AWS définir la valeur USA Est (Virginie du Nord), (us-east-1). Pour plus d'informations sur le partage de ressources globales, consultezPartage des ressources régionales par rapport aux ressources mondiales.

  3. Sélectionnez le partage de ressources, puis choisissez Modifier.

  4. À l'étape 1 : Spécifiez les détails du partage des ressources, passez en revue les détails du partage des ressources et, si nécessaire, mettez à jour l'un des éléments suivants :

    1. (Facultatif) Pour modifier le nom du partage de ressources, modifiez le nom.

    2. (Facultatif) Pour ajouter une ressource au partage de ressources, sous Ressources, choisissez le type de ressource, puis cochez la case à côté de la ressource pour l'ajouter au partage de ressources. Les ressources globales apparaissent uniquement si vous définissez la région sur USA Est (Virginie du Nord), (us-east-1) dans le AWS Management Console.

    3. (Facultatif) Pour supprimer une ressource du partage de ressources, localisez-la sous Ressources sélectionnées, puis cliquez sur le X à côté de l'ID de la ressource.

    4. (Facultatif) Pour ajouter une balise au partage de ressources, sous Balises, entrez une clé et une valeur de balise dans les zones de texte vides. Pour ajouter plusieurs paires clé-valeur de balise, choisissez Ajouter une nouvelle balise. Vous pouvez ajouter jusqu’à 50 balises.

    5. Pour supprimer une balise du partage de ressources, sous Balises, localisez la balise et choisissez Supprimer à côté.

  5. Choisissez Suivant.

  6. (Facultatif) À l'étape 2 : associer une autorisation gérée à chaque type de ressource, vous pouvez choisir d'associer une autorisation gérée créée par AWS au type de ressource, choisir une autorisation gérée par le client existante ou créer votre propre autorisation gérée par le client. Pour de plus amples informations, veuillez consulter Types d'autorisations gérées.

    Vous pouvez également choisir Créer une autorisation gérée par le client pour créer une autorisation gérée par le client qui répond aux exigences de votre cas d'utilisation du partage. Pour de plus amples informations, veuillez consulter Création d'une autorisation gérée par le client. Une fois le processus terminé, choisissez Refresh icon , puis vous pouvez sélectionner l'autorisation gérée par votre nouveau client dans la liste déroulante des autorisations gérées.

    Pour afficher les actions autorisées par l'autorisation gérée, développez Afficher le modèle de politique pour cette autorisation gérée.

  7. Si la version de l'autorisation gérée actuellement attribuée au partage de ressources n'est pas la version par défaut actuelle, vous pouvez passer à la version par défaut en choisissant Mettre à jour vers la version par défaut.

    Note

    Jusqu'à ce que vous ayez enregistré les modifications apportées au partage des ressources après la dernière étape, vous pouvez annuler la mise à jour de version en choisissant Revenir à la version précédente. Toutefois, pour les autorisations AWS gérées, une fois que vous avez enregistré le partage de ressources, la modification est définitive et vous ne pouvez plus revenir à la version précédente.

  8. Choisissez Suivant.

  9. À l'étape 3 : Choisissez les principaux autorisés à accéder, passez en revue les principaux sélectionnés et, si nécessaire, mettez à jour l'un des éléments suivants :

    1. (Facultatif) Pour modifier si le partage est activé avec les responsables internes ou externes à votre organisation, choisissez l'une des options suivantes :

      • Pour partager des ressources avec des rôles Comptes AWS ou des utilisateurs IAM individuels extérieurs à votre organisation, choisissez Autoriser le partage avec des responsables externes.

      • Pour limiter le partage des ressources aux seuls directeurs de votre organisation dans AWS Organizations, choisissez Autoriser le partage avec les principaux responsables de votre organisation uniquement.

    2. Pour les directeurs, procédez comme suit :

      • (Facultatif) Pour ajouter une organisation, une unité organisationnelle (UO) ou un membre au Compte AWS sein de votre organisation, activez Afficher la structure organisationnelle pour afficher une vue arborescente de votre organisation. Cochez ensuite la case à côté de chaque principal que vous souhaitez ajouter.

        Important

        Lorsque vous partagez avec une organisation ou une unité d'organisation, et que cette étendue inclut le compte propriétaire du partage de ressources, tous les principaux du compte de partage ont automatiquement accès aux ressources du partage. L'accès accordé est défini par les autorisations gérées associées au partage. Cela est dû au fait que la politique basée sur les ressources qui AWS RAM s'attache à chaque ressource du partage utilise. "Principal": "*" Pour de plus amples informations, veuillez consulter Implications de l'utilisation "Principal": "*" dans une politique basée sur les ressources.

        Les directeurs des autres comptes consommateurs n'ont pas immédiatement accès aux ressources de l'action. Les administrateurs des autres comptes doivent d'abord associer des politiques d'autorisation basées sur l'identité aux principaux appropriés. Ces politiques doivent accorder l'Allowaccès aux ressources individuelles ARNs du partage de ressources. Les autorisations définies dans ces politiques ne peuvent pas dépasser celles spécifiées dans l'autorisation gérée associée au partage de ressources.

        Note

        Le bouton Afficher la structure organisationnelle apparaît uniquement si le partage avec AWS Organizations est activé et si vous êtes connecté en tant que principal au compte de gestion de l'organisation.

        Vous ne pouvez pas utiliser cette méthode pour spécifier un rôle ou un utilisateur Compte AWS externe à votre organisation. Vous devez plutôt ajouter ces principes en saisissant leurs identifiants, qui sont affichés dans la zone de texte située sous le commutateur Afficher la structure organisationnelle. Voir le point suivant de la bullet.

      • (Facultatif) Pour ajouter un principal par son identifiant, choisissez le type de principal dans la liste déroulante, puis entrez l'ID ou l'ARN du principal. Enfin, choisissez Ajouter.

        Si vous sélectionnez une personne Compte AWS, seul ce compte peut accéder au partage des ressources. Vous pouvez choisir l'une des options suivantes.

        • Autre Compte AWS (autre que le propriétaire de la ressource) : met la ressource à la disposition de l'autre compte. L'administrateur de ce compte doit terminer le processus en accordant l'accès à la ressource partagée à l'aide de politiques d'autorisation basées sur l'identité aux rôles et aux utilisateurs individuels. Ces autorisations ne peuvent pas dépasser celles définies dans les autorisations gérées associées au partage de ressources.

        • Ceci Compte AWS (propriétaire de la ressource) — Tous les rôles et utilisateurs du compte propriétaire de la ressource reçoivent automatiquement l'accès défini par les autorisations gérées associées au partage de ressources.

      • L'ajout apparaît immédiatement dans la liste Principaux sélectionnés.

        Vous pouvez ensuite ajouter des comptes supplémentaires ou votre organisation en répétant cette étape. OUs

      • (Facultatif) Pour supprimer un principal, localisez-le sous Principaux sélectionnés, cochez sa case, puis choisissez Désélectionner.

  10. Choisissez Suivant.

  11. À l'étape 4 : révision et mise à jour, passez en revue les détails de configuration de votre partage de ressources.

  12. Pour modifier la configuration d'une étape, choisissez le lien correspondant à l'étape à laquelle vous souhaitez revenir, puis apportez les modifications requises.

    Si des autorisations gérées utilisent toujours des versions autres que la version par défaut, vous avez une autre opportunité de résoudre ce problème en choisissant Mettre à jour vers la version par défaut.

  13. Choisissez Mettre à jour le partage des ressources lorsque vous avez terminé d'apporter des modifications.

AWS CLI
Pour mettre à jour un partage de ressources

Vous pouvez utiliser les AWS CLI commandes suivantes pour modifier un partage de ressources :

  • Pour renommer un partage de ressources ou pour modifier si les principaux externes sont autorisés, utilisez la commande update-resource-share. L'exemple suivant renomme le partage de ressources spécifié et le définit pour n'autoriser que les principaux membres de son organisation. Vous devez utiliser le point de terminaison du service Région AWS qui contient le partage de ressources. 

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • Pour ajouter une ressource à un partage de ressources, utilisez la commande associate-resource-share. L'exemple suivant ajoute un sous-réseau au partage de ressources spécifié.

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • Pour ajouter ou remplacer une autorisation gérée pour un type de ressource dans un partage de ressources, utilisez les commandes list-permissions et associate-resource-share-permission. Vous ne pouvez attribuer qu'une seule autorisation gérée par type de ressource dans un partage de ressources. Si vous essayez d'ajouter une autorisation gérée à un type de ressource qui possède déjà une autorisation gérée, vous devez inclure l'--replaceoption, sinon la commande échoue avec une erreur.

    L'exemple de commande suivant répertorie les ARNs autorisations gérées disponibles pour un sous-réseau Amazon Elastic Compute Cloud (Amazon EC2), puis utilise l'une d'entre elles ARNs pour remplacer l'autorisation AWS gérée actuellement attribuée pour ce type de ressource dans le partage de ressources spécifié. 

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • Pour supprimer une ressource d'un partage de ressources, utilisez la commande disassociate-resource-share. L'exemple suivant supprime le EC2 sous-réseau Amazon avec l'ARN spécifié du partage de ressources spécifié.

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • Pour modifier les balises associées à un partage de ressources, utilisez les commandes tag-resource et untag-resource. L'exemple suivant ajoute la balise project=lima au partage de ressources spécifié.

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    L'exemple suivant supprime la balise avec une clé project de dans le partage de ressources spécifié.

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    Les commandes de balisage ne produisent aucun résultat en cas de réussite.