Berbagi AWS sumber daya Anda - AWS Resource Access Manager
Aktifkan berbagi sumber daya dalam AWS OrganizationsBuat berbagi sumber daya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Berbagi AWS sumber daya Anda

Untuk berbagi sumber daya yang Anda miliki dengan menggunakan AWS RAM, lakukan hal berikut:

Catatan

  • Berbagi sumber daya dengan prinsipal di luar Akun AWS yang memiliki sumber daya tidak mengubah izin atau kuota yang berlaku untuk sumber daya dalam akun yang membuatnya.

  • AWS RAM adalah layanan regional. Prinsipal yang Anda bagikan dapat mengakses pembagian sumber daya hanya Wilayah AWS di mana mereka dibuat.

  • Beberapa sumber daya memiliki pertimbangan dan prasyarat khusus untuk berbagi. Untuk informasi selengkapnya, lihat Sumber daya yang dapat dibagikan AWS.

Aktifkan berbagi sumber daya dalam AWS Organizations

Ketika akun Anda dikelola oleh AWS Organizations, Anda dapat memanfaatkannya untuk berbagi sumber daya dengan lebih mudah. Dengan atau tanpa Organizations, pengguna dapat berbagi dengan akun individu. Namun, jika akun Anda berada dalam suatu organisasi, maka Anda dapat berbagi dengan akun individual, atau dengan semua akun di organisasi atau di OU tanpa harus menghitung setiap akun.

Untuk berbagi sumber daya dalam organisasi, Anda harus terlebih dahulu menggunakan AWS RAM konsol atau AWS Command Line Interface (AWS CLI) untuk mengaktifkan berbagi dengan AWS Organizations. Ketika Anda berbagi sumber daya di organisasi Anda, AWS RAM tidak mengirim undangan ke kepala sekolah. Prinsipal di organisasi Anda mendapatkan akses ke sumber daya bersama tanpa bertukar undangan.

Saat Anda mengaktifkan berbagi sumber daya dalam organisasi Anda, AWS RAM buat peran terkait layanan yang disebut. AWSServiceRoleForResourceAccessManager Peran ini hanya dapat diasumsikan oleh AWS RAM layanan, dan memberikan AWS RAM izin untuk mengambil informasi tentang organisasi yang menjadi anggotanya, dengan menggunakan kebijakan AWS terkelola. AWSResourceAccessManagerServiceRolePolicy

Jika Anda tidak perlu lagi berbagi sumber daya dengan seluruh organisasi Anda atauOUs, Anda dapat menonaktifkan berbagi sumber daya. Untuk informasi selengkapnya, lihat Menonaktifkan berbagi sumber daya dengan AWS Organizations.

Izin minimum

Untuk menjalankan prosedur di bawah ini, Anda harus masuk sebagai kepala sekolah di akun manajemen organisasi yang memiliki izin berikut:

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

Persyaratan

  • Anda dapat melakukan langkah-langkah ini hanya saat masuk sebagai prinsipal di akun manajemen organisasi.

  • Organisasi harus mengaktifkan semua fitur. Untuk informasi selengkapnya, lihat Mengaktifkan semua fitur di organisasi Anda di Panduan AWS Organizations Pengguna.

penting

Anda harus mengaktifkan berbagi AWS Organizations dengan menggunakan AWS RAM konsol atau AWS CLI perintah enable-sharing-with-aws-organization. Ini memastikan bahwa peran AWSServiceRoleForResourceAccessManager terkait layanan dibuat. Jika Anda mengaktifkan akses tepercaya AWS Organizations dengan menggunakan AWS Organizations konsol atau enable-aws-service-access AWS CLI perintah, peran AWSServiceRoleForResourceAccessManager terkait layanan tidak dibuat, dan Anda tidak dapat berbagi sumber daya dalam organisasi Anda.

Console
Untuk mengaktifkan berbagi sumber daya dalam organisasi Anda

  1. Buka halaman Pengaturan di AWS RAM konsol.

  2. Pilih Aktifkan berbagi dengan AWS Organizations, lalu pilih Simpan pengaturan.

AWS CLI
Untuk mengaktifkan berbagi sumber daya dalam organisasi Anda

Gunakan perintah enable-sharing-with-aws-organization.

Perintah ini dapat digunakan di mana saja Wilayah AWS, dan memungkinkan berbagi dengan AWS Organizations di semua Wilayah yang AWS RAM didukung.

$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}

Buat berbagi sumber daya

Untuk berbagi sumber daya yang Anda miliki, buat pembagian sumber daya. Berikut adalah gambaran umum prosesnya:

  1. Tambahkan sumber daya yang ingin Anda bagikan.

  2. Untuk setiap jenis sumber daya yang Anda sertakan dalam share, tentukan izin terkelola yang akan digunakan untuk jenis sumber daya tersebut.

    • Anda dapat memilih dari salah satu izin AWS terkelola yang tersedia, izin terkelola pelanggan yang sudah ada, atau membuat izin terkelola pelanggan baru.

    • AWS izin terkelola dibuat oleh AWS untuk mencakup kasus penggunaan standar.

    • Izin terkelola pelanggan memungkinkan Anda menyesuaikan izin terkelola Anda sendiri untuk memenuhi kebutuhan keamanan dan bisnis Anda.

    catatan

    Jika izin terkelola yang dipilih memiliki beberapa versi, maka AWS RAM secara otomatis melampirkan versi default. Anda hanya dapat melampirkan versi yang ditetapkan sebagai default.

  3. Tentukan prinsipal yang ingin Anda akses ke sumber daya.

Pertimbangan

  • Jika nanti Anda perlu menghapus AWS sumber daya yang Anda sertakan dalam berbagi, sebaiknya Anda menghapus sumber daya dari pembagian sumber daya apa pun yang menyertakannya, atau menghapus pembagian sumber daya.

  • Jenis sumber daya yang dapat Anda sertakan dalam pembagian sumber daya tercantum diSumber daya yang dapat dibagikan AWS.

  • Anda dapat berbagi sumber daya hanya jika Anda memilikinya. Anda tidak dapat berbagi sumber daya yang dibagikan dengan Anda.

  • AWS RAM adalah layanan regional. Saat Anda berbagi sumber daya dengan prinsipal di tempat lain Akun AWS, prinsipal tersebut harus mengakses setiap sumber daya dari sumber daya yang sama Wilayah AWS dengan yang dibuat. Untuk sumber daya global yang didukung, Anda dapat mengakses sumber daya tersebut dari sumber daya apa pun Wilayah AWS yang didukung oleh konsol layanan dan alat sumber daya tersebut. Anda dapat melihat pembagian sumber daya tersebut dan sumber daya globalnya di AWS RAM konsol dan alat hanya di Wilayah asal yang ditunjuk, AS Timur (Virginia Utara),us-east-1. Untuk informasi selengkapnya tentang AWS RAM dan sumber daya global, lihatBerbagi sumber daya Regional dibandingkan dengan sumber daya global.

  • Jika akun yang Anda bagikan adalah bagian dari organisasi AWS Organizations dan berbagi dalam organisasi Anda diaktifkan, semua prinsipal di organisasi yang Anda bagikan secara otomatis diberikan akses ke pembagian sumber daya tanpa menggunakan undangan. Seorang kepala sekolah di akun dengan siapa Anda berbagi di luar konteks organisasi menerima undangan untuk bergabung dengan pembagian sumber daya dan diberikan akses ke sumber daya bersama hanya setelah mereka menerima undangan.

  • Jika Anda berbagi dengan kepala layanan, Anda tidak dapat mengaitkan prinsip lain dengan pembagian sumber daya.

  • Jika berbagi antara akun atau kepala sekolah yang merupakan bagian dari organisasi, maka setiap perubahan keanggotaan organisasi secara dinamis memengaruhi akses ke pembagian sumber daya.

    • Jika Anda menambahkan Akun AWS ke organisasi atau OU yang memiliki akses ke pembagian sumber daya, maka akun anggota baru tersebut secara otomatis mendapatkan akses ke pembagian sumber daya. Administrator akun yang Anda bagikan kemudian dapat memberikan kepala sekolah individu di akun tersebut akses ke sumber daya di bagian tersebut.

    • Jika Anda menghapus akun dari organisasi atau OU yang memiliki akses ke pembagian sumber daya, maka setiap prinsipal di akun tersebut secara otomatis kehilangan akses ke sumber daya yang diakses melalui pembagian sumber daya tersebut.

    • Jika Anda berbagi langsung dengan akun anggota atau dengan IAM peran atau pengguna di akun anggota dan kemudian menghapus akun itu dari organisasi, maka setiap prinsipal di akun tersebut kehilangan akses ke sumber daya yang diakses melalui pembagian sumber daya tersebut.

    penting

    Ketika Anda berbagi dengan organisasi atau OU, dan ruang lingkup tersebut mencakup akun yang memiliki pembagian sumber daya, semua kepala sekolah di akun berbagi secara otomatis mendapatkan akses ke sumber daya dalam pembagian. Akses yang diberikan ditentukan oleh izin terkelola yang terkait dengan pembagian. Ini karena kebijakan berbasis sumber daya yang AWS RAM melekat pada setiap sumber daya dalam penggunaan berbagi. "Principal": "*" Untuk informasi selengkapnya, lihat Implikasi penggunaan "Principal": "*" dalam kebijakan berbasis sumber daya.

    Prinsipal di akun konsumsi lainnya tidak segera mendapatkan akses ke sumber daya saham. Administrator akun lain harus terlebih dahulu melampirkan kebijakan izin berbasis identitas ke kepala sekolah yang sesuai. Kebijakan tersebut harus memberikan Allow akses ke sumber ARNs daya individu dalam pembagian sumber daya. Izin dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang terkait dengan pembagian sumber daya.

  • Anda hanya dapat menambahkan organisasi yang menjadi anggota akun Anda, dan OUs dari organisasi itu ke pembagian sumber daya Anda. Anda tidak dapat menambahkan OUs atau organisasi dari luar organisasi Anda sendiri ke pembagian sumber daya sebagai prinsipal. Namun, Anda dapat menambahkan individu Akun AWS atau, untuk layanan, IAM peran, dan pengguna yang didukung dari luar organisasi Anda sebagai prinsipal ke pembagian sumber daya.

    catatan

    Tidak semua jenis sumber daya dapat dibagikan dengan IAM peran dan pengguna. Untuk informasi tentang sumber daya yang dapat Anda bagikan dengan prinsipal ini, lihat. Sumber daya yang dapat dibagikan AWS

  • Untuk jenis sumber daya berikut, Anda memiliki waktu tujuh hari untuk menerima undangan bergabung dengan share untuk jenis sumber daya berikut. Jika Anda tidak menerima undangan sebelum kedaluwarsa, undangan secara otomatis ditolak.

    penting

    Untuk jenis sumber daya bersama yang tidak ada dalam daftar berikut, Anda memiliki waktu 12 jam untuk menerima undangan untuk bergabung dengan pembagian sumber daya. Setelah 12 jam, undangan kedaluwarsa dan prinsipal pengguna akhir dalam pembagian sumber daya dipisahkan. Undangan tidak dapat lagi diterima oleh pengguna akhir.

    • Amazon Aurora - kluster DB

    • Amazon EC2 — reservasi kapasitas dan host khusus

    • AWS License Manager - Konfigurasi lisensi

    • AWS Outposts — Tabel rute gateway lokal, pos terdepan, dan situs

    • Amazon Route 53 - Aturan penerusan

    • Amazon VPC — IPv4 Alamat milik pelanggan, daftar awalan, subnet, target cermin lalu lintas, gateway transit, domain multicast gateway transit

Console
Untuk membuat pembagian sumber daya

  1. Buka konsol AWS RAM.

  2. Karena pembagian AWS RAM sumber daya ada secara spesifik Wilayah AWS, pilih yang sesuai Wilayah AWS dari daftar tarik-turun di sudut kanan atas konsol. Untuk melihat pembagian sumber daya yang berisi sumber daya global, Anda harus mengatur Wilayah AWS ke US East (Virginia N.), (us-east-1). Untuk informasi selengkapnya tentang berbagi sumber daya global, lihatBerbagi sumber daya Regional dibandingkan dengan sumber daya global. Jika Anda ingin memasukkan sumber daya global dalam pembagian sumber daya, maka Anda harus memilih Wilayah asal yang ditunjuk, AS Timur (Virginia N.),us-east-1.

  3. Jika Anda baru AWS RAM, pilih Buat berbagi sumber daya dari halaman beranda. Jika tidak, pilih Buat berbagi sumber daya dari halaman Dibagikan oleh saya: Berbagi sumber daya.

  4. Pada Langkah 1: Tentukan detail berbagi sumber daya, lakukan hal berikut:

    1. Untuk Nama, masukkan nama deskriptif untuk berbagi sumber daya.

    2. Di bawah Sumber Daya, pilih sumber daya untuk ditambahkan ke pembagian sumber daya sebagai berikut:

      • Untuk Pilih jenis sumber daya, pilih jenis sumber daya yang akan dibagikan. Ini menyaring daftar sumber daya yang dapat dibagikan hanya ke sumber daya dari jenis yang dipilih.

      • Dalam daftar sumber daya yang dihasilkan, pilih kotak centang di sebelah sumber daya individual yang ingin Anda bagikan. Sumber daya yang dipilih bergerak di bawah Sumber daya yang dipilih.

        Jika Anda berbagi sumber daya yang terkait dengan zona ketersediaan tertentu, maka menggunakan ID Zona Ketersediaan (ID AZ) membantu Anda menentukan lokasi relatif sumber daya ini di seluruh akun. Untuk informasi selengkapnya, lihat ID Availability Zone untukAWS sumber daya Anda.

    3. (Opsional) Untuk melampirkan tag ke berbagi sumber daya, di bawah Tag, masukkan kunci tag dan nilai. Tambahkan yang lain dengan memilih Tambahkan tag baru. Ulangi langkah ini sesuai kebutuhan. Tag ini hanya berlaku untuk pembagian sumber daya itu sendiri, bukan untuk sumber daya dalam pembagian sumber daya.

  5. Pilih Berikutnya.

  6. Pada Langkah 2: Kaitkan izin terkelola dengan setiap jenis sumber daya, Anda dapat memilih untuk mengaitkan izin terkelola yang dibuat AWS dengan jenis sumber daya, memilih izin terkelola pelanggan yang ada, atau Anda dapat membuat izin terkelola pelanggan Anda sendiri untuk jenis sumber daya yang didukung. Untuk informasi selengkapnya, lihat Jenis izin terkelola.

    Pilih Buat izin terkelola pelanggan untuk membuat izin terkelola pelanggan yang memenuhi persyaratan kasus penggunaan berbagi Anda. Untuk informasi selengkapnya, lihat Membuat izin terkelola pelanggan. Setelah menyelesaikan proses, pilih Refresh icon dan kemudian Anda dapat memilih izin terkelola pelanggan baru Anda dari daftar tarik-turun izin terkelola.

    catatan

    Jika izin terkelola yang dipilih memiliki beberapa versi, maka AWS RAM secara otomatis melampirkan versi default. Anda hanya dapat melampirkan versi yang ditetapkan sebagai default.

    Untuk menampilkan tindakan yang diizinkan izin terkelola, perluas Lihat templat kebijakan untuk izin terkelola ini.

  7. Pilih Berikutnya.

  8. Pada Langkah 3: Berikan akses ke kepala sekolah, lakukan hal berikut:

    1. Secara default, Izinkan berbagi dengan siapa pun dipilih, yang berarti, untuk jenis sumber daya yang mendukungnya, Anda dapat berbagi sumber daya dengan Akun AWS yang berada di luar organisasi Anda. Ini tidak memengaruhi jenis sumber daya yang hanya dapat dibagikan dalam organisasi, seperti VPC subnet Amazon. Anda juga dapat berbagi beberapa jenis sumber daya yang didukung dengan IAM peran dan pengguna.

      Untuk membatasi berbagi sumber daya hanya untuk akun dan kepala sekolah di organisasi Anda, pilih Izinkan berbagi hanya dalam organisasi Anda.

    2. Untuk Kepala Sekolah, lakukan hal berikut:

      • Untuk menambahkan organisasi, unit organisasi (OU), atau Akun AWS yang merupakan bagian dari organisasi, aktifkan Menampilkan struktur organisasi. Ini menampilkan tampilan pohon organisasi Anda. Kemudian, pilih kotak centang di sebelah setiap prinsipal yang ingin Anda tambahkan.

        penting

        Ketika Anda berbagi dengan organisasi atau OU, dan ruang lingkup tersebut mencakup akun yang memiliki pembagian sumber daya, semua kepala sekolah di akun berbagi secara otomatis mendapatkan akses ke sumber daya dalam pembagian. Akses yang diberikan ditentukan oleh izin terkelola yang terkait dengan pembagian. Ini karena kebijakan berbasis sumber daya yang AWS RAM melekat pada setiap sumber daya dalam penggunaan berbagi. "Principal": "*" Untuk informasi selengkapnya, lihat Implikasi penggunaan "Principal": "*" dalam kebijakan berbasis sumber daya.

        Prinsipal di akun konsumsi lainnya tidak segera mendapatkan akses ke sumber daya saham. Administrator akun lain harus terlebih dahulu melampirkan kebijakan izin berbasis identitas ke kepala sekolah yang sesuai. Kebijakan tersebut harus memberikan Allow akses ke sumber ARNs daya individu dalam pembagian sumber daya. Izin dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang terkait dengan pembagian sumber daya.

        • Jika Anda memilih organisasi (ID dimulai dengano-), maka prinsipal Akun AWS di semua organisasi dapat mengakses pembagian sumber daya.

        • Jika Anda memilih OU (ID dimulai denganou-), maka prinsipal Akun AWS di semua OU itu dan anaknya OUs dapat mengakses pembagian sumber daya.

        • Jika Anda memilih individu Akun AWS, maka hanya kepala sekolah di akun itu yang dapat mengakses pembagian sumber daya.

        catatan

        Sakelar struktur organisasi tampilan hanya muncul jika berbagi dengan AWS Organizations diaktifkan dan Anda masuk ke akun manajemen untuk organisasi.

        Anda tidak dapat menggunakan metode ini untuk menentukan Akun AWS di luar organisasi Anda, atau IAM peran atau pengguna. Sebagai gantinya, Anda harus menonaktifkan Menampilkan struktur organisasi dan menggunakan daftar drop-down dan kotak teks untuk memasukkan ID atauARN.

      • Untuk menentukan prinsipal berdasarkan ID atauARN, termasuk kepala sekolah yang berada di luar organisasi, maka untuk setiap prinsipal, pilih jenis prinsipal. Selanjutnya, masukkan ID (untuk Akun AWS, organisasi, atau OU) atau ARN (untuk IAM peran atau pengguna), lalu pilih Tambah. Jenis dan ID dan ARN format utama yang tersedia adalah sebagai berikut:

        • Akun AWS— Untuk menambahkan Akun AWS, masukkan ID akun 12 digit. Sebagai contoh:

          123456789012

        • Organisasi — Untuk menambahkan semua yang Akun AWS ada di organisasi Anda, masukkan ID organisasi. Sebagai contoh:

          o-abcd1234

        • Unit organisasi (OU) - Untuk menambahkan OU, masukkan ID OU. Sebagai contoh:

          ou-abcd-1234efgh

        • IAMperan — Untuk menambahkan IAM peran, masukkan ARN peran. Gunakan sintaks berikut:

          arn:partition:iam::account:role/role-name

          Sebagai contoh:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          catatan

          Untuk mendapatkan IAM peran unikARN, lihat daftar peran di IAM konsol, gunakan AWS CLI perintah get-role atau tindakan. GetRoleAPI

        • IAMpengguna — Untuk menambahkan IAM pengguna, masukkan ARN pengguna. Gunakan sintaks berikut:

          arn:partition:iam::account:user/user-name

          Sebagai contoh:

          arn:aws:iam::123456789012:user/bob

          catatan

          Untuk mendapatkan keunikan ARN bagi IAM pengguna, lihat daftar pengguna di IAM konsol, gunakan get-user AWS CLI perintah, atau GetUserAPItindakan.

      • Prinsipal layanan — Untuk menambahkan prinsipal layanan, pilih Prinsipal layanan dari dropbox tipe utama Pilih. Masukkan nama kepala AWS layanan. Gunakan sintaks berikut:

        • service-id.amazonaws.com

          Sebagai contoh:

          pca-connector-ad.amazonaws.com

    3. Untuk Prinsipal yang dipilih, verifikasi bahwa prinsipal yang Anda tentukan muncul dalam daftar.

  9. Pilih Berikutnya.

  10. Pada Langkah 4: Tinjau dan buat, tinjau detail konfigurasi untuk berbagi sumber daya Anda. Untuk mengubah konfigurasi untuk langkah apa pun, pilih tautan yang sesuai dengan langkah yang ingin Anda kembalikan dan buat perubahan yang diperlukan.

  11. Setelah Anda selesai meninjau pembagian sumber daya, pilih Buat berbagi sumber daya.

    Diperlukan beberapa menit untuk menyelesaikan sumber daya dan asosiasi utama. Izinkan proses ini selesai sebelum Anda mencoba menggunakan pembagian sumber daya.

  12. Anda dapat menambahkan dan menghapus sumber daya dan prinsipal atau menerapkan tag khusus ke pembagian sumber daya Anda kapan saja. Anda dapat mengubah izin terkelola untuk jenis sumber daya yang disertakan dalam pembagian sumber daya, untuk jenis yang mendukung lebih dari izin terkelola default. Anda dapat menghapus pembagian sumber daya ketika Anda tidak lagi ingin berbagi sumber daya. Untuk informasi selengkapnya, lihat BagikanAWS sumber daya yang dimiliki oleh Anda.

AWS CLI
Untuk membuat pembagian sumber daya

Gunakan create-resource-shareperintah. Perintah berikut membuat pembagian sumber daya yang dibagikan dengan semua yang Akun AWS ada di organisasi. Berbagi berisi konfigurasi AWS License Manager lisensi, dan memberikan izin terkelola default untuk jenis sumber daya tersebut.

catatan

Jika Anda ingin menggunakan izin terkelola pelanggan dengan jenis sumber daya dalam pembagian sumber daya ini, Anda dapat menggunakan izin terkelola pelanggan yang sudah ada atau membuat izin terkelola pelanggan baru. Catat izin terkelola ARN untuk pelanggan, lalu buat pembagian sumber daya. Untuk informasi selengkapnya, lihat Membuat izin terkelola pelanggan.

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}