Aggiornare una condivisione di risorse in AWS RAM - AWS Resource Access Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aggiornare una condivisione di risorse in AWS RAM

È possibile aggiornare una condivisione di risorse in qualsiasi AWS RAM momento nei seguenti modi:

  • Puoi aggiungere principali, risorse o tag a una condivisione di risorse che hai creato.

  • Per i tipi di risorse che supportano più autorizzazioni AWS gestite oltre a quelle predefinite, puoi scegliere quale autorizzazione gestita applicare alle risorse di ogni tipo.

  • Quando un'autorizzazione gestita allegata alla condivisione di risorse ha una nuova versione predefinita, è possibile aggiornare l'autorizzazione gestita per utilizzare la nuova versione.

  • È possibile revocare l'accesso alle risorse condivise rimuovendo i principali o le risorse da una condivisione di risorse. Se revochi l'accesso, i principali non avranno più accesso alle risorse condivise.

Nota

I responsabili con cui condividi le risorse possono abbandonare la condivisione di risorse se la condivisione è vuota o contiene solo tipi di risorse che supportano l'abbandono di una condivisione di risorse. Se la condivisione di risorse contiene tipi di risorse che non supportano l'abbandono, viene visualizzato un messaggio per informare i responsabili della condivisione che devono contattare il proprietario della condivisione. In questo caso, in qualità di proprietario della condivisione di risorse, devi rimuovere i responsabili dalla condivisione di risorse. Per un elenco dei tipi di risorse che non supportano questa azione, consultaPrerequisiti per abbandonare una condivisione di risorse.

Console
Per aggiornare una condivisione di risorse

  1. Vai alla pagina Condivisi da me: condivisioni di risorse nella AWS RAM console.

  2. Poiché le condivisioni di AWS RAM risorse esistono in modo specifico Regioni AWS, scegli quella appropriata Regione AWS dall'elenco a discesa nell'angolo in alto a destra della console. Per visualizzare le condivisioni di risorse che contengono risorse globali, è necessario impostarle su Stati Uniti orientali (Virginia settentrionale), (). Regione AWS us-east-1 Per ulteriori informazioni sulla condivisione di risorse globali, consultaCondivisione delle risorse regionali rispetto alle risorse globali.

  3. Seleziona la condivisione di risorse, quindi scegli Modifica.

  4. Nel passaggio 1: Specificate i dettagli della condivisione delle risorse, esaminate i dettagli della condivisione delle risorse e, se necessario, aggiornate uno dei seguenti elementi:

    1. (Facoltativo) Per modificare il nome della condivisione di risorse, modifica Nome.

    2. (Facoltativo) Per aggiungere una risorsa alla condivisione di risorse, in Risorse, scegli il tipo di risorsa, quindi seleziona la casella di controllo accanto alla risorsa per aggiungerla alla condivisione di risorse. Le risorse globali vengono visualizzate solo se imposti la regione su Stati Uniti orientali (Virginia settentrionale), (us-east-1) nel. AWS Management Console

    3. (Facoltativo) Per rimuovere una risorsa dalla condivisione di risorse, individua la risorsa in Risorse selezionate, quindi scegli la X accanto all'ID della risorsa.

    4. (Facoltativo) Per aggiungere un tag alla condivisione di risorse, in Tag, inserisci una chiave e un valore per il tag nelle caselle di testo vuote. Per aggiungere più di una coppia chiave-valore di tag, scegli Aggiungi nuovo tag. Puoi aggiungere fino a 50 tag.

    5. Per rimuovere un tag dalla condivisione di risorse, in Tag, individua il tag e scegli Rimuovi accanto ad esso.

  5. Scegli Next (Successivo).

  6. (Facoltativo) Nel Passaggio 2: Associa un'autorizzazione gestita a ciascun tipo di risorsa, puoi scegliere di associare un'autorizzazione gestita creata da AWS al tipo di risorsa, scegliere un'autorizzazione gestita dal cliente esistente oppure creare un'autorizzazione gestita dal cliente personalizzata. Per ulteriori informazioni, consulta Tipi di autorizzazioni gestite.

    Puoi anche scegliere Crea autorizzazione gestita dal cliente per creare un'autorizzazione gestita dal cliente che soddisfi i requisiti del tuo caso d'uso della condivisione. Per ulteriori informazioni, consulta Creazione di un'autorizzazione gestita dal cliente. Dopo aver completato il processo, scegli Refresh icon , quindi puoi selezionare la tua nuova autorizzazione gestita dal cliente dall'elenco a discesa Autorizzazioni gestite.

    Per visualizzare le azioni consentite dall'autorizzazione gestita, espandi Visualizza il modello di policy per questa autorizzazione gestita.

  7. Se la versione dell'autorizzazione gestita attualmente assegnata alla condivisione di risorse non è la versione predefinita corrente, puoi eseguire l'aggiornamento alla versione predefinita scegliendo Aggiorna alla versione predefinita.

    Nota

    Finché non salvi le modifiche alla condivisione di risorse dopo il passaggio finale, puoi annullare l'aggiornamento della versione scegliendo Ripristina alla versione precedente. Tuttavia, per le autorizzazioni AWS gestite, dopo aver salvato la condivisione di risorse, la modifica è definitiva e non è più possibile tornare alla versione precedente.

  8. Scegli Next (Successivo).

  9. Nel passaggio 3: scegli i principali a cui è consentito l'accesso, rivedi i principali selezionati e, se necessario, aggiorna uno dei seguenti elementi:

    1. (Facoltativo) Per modificare se la condivisione è abilitata con i responsabili interni o esterni all'organizzazione, scegli una delle seguenti opzioni:

      • Per condividere risorse Account AWS o singoli IAM ruoli o utenti esterni all'organizzazione, scegli Consenti la condivisione con responsabili esterni.

      • Per limitare la condivisione delle risorse ai soli responsabili della tua organizzazione in AWS Organizations, scegli Consenti la condivisione solo con i responsabili della tua organizzazione.

    2. Per i dirigenti, procedi come segue:

      • (Facoltativo) Per aggiungere un'organizzazione, un'unità organizzativa (OU) o un membro Account AWS all'interno dell'organizzazione, attiva Mostra struttura organizzativa per visualizzare una visualizzazione ad albero dell'organizzazione. Quindi seleziona la casella di controllo accanto a ciascun principale che desideri aggiungere.

        Importante

        Quando condividi con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Questo perché la politica basata sulle risorse associata a ciascuna risorsa AWS RAM della condivisione utilizza. "Principal": "*" Per ulteriori informazioni, consulta Implicazioni dell'uso "Principal": "*" in una politica basata sulle risorse.

        I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono consentire Allow l'accesso alle singole risorse ARNs della condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.

        Nota

        L'interruttore Visualizza la struttura organizzativa viene visualizzato solo se la condivisione con AWS Organizations è abilitata e se hai effettuato l'accesso come responsabile nell'account di gestione dell'organizzazione.

        Non puoi utilizzare questo metodo per specificare un IAM ruolo o un utente Account AWS esterno all'organizzazione. È invece necessario aggiungere questi principali inserendo i relativi identificatori, visualizzati nella casella di testo sotto l'interruttore Visualizza la struttura organizzativa. Vedi il prossimo bullet point.

      • (Facoltativo) Per aggiungere un principale tramite il relativo identificatore, scegli il tipo principale dall'elenco a discesa, quindi inserisci l'ID o ARN il principale. Infine, scegli Aggiungi.

        Se selezioni una persona Account AWS, solo quell'account può accedere alla condivisione delle risorse. Puoi scegliere una delle seguenti opzioni.

        • Altro Account AWS (diverso dal proprietario della risorsa): rende la risorsa disponibile per l'altro account. L'amministratore di tale account deve completare il processo concedendo l'accesso alla risorsa condivisa utilizzando politiche di autorizzazione basate sull'identità a singoli ruoli e utenti. Tali autorizzazioni non possono superare quelle definite nelle autorizzazioni gestite allegate alla condivisione di risorse.

        • Questo Account AWS (proprietario della risorsa): tutti i ruoli e gli utenti dell'account proprietario delle risorse ricevono automaticamente l'accesso definito dalle autorizzazioni gestite allegate alla condivisione delle risorse.

      • L'aggiunta viene immediatamente visualizzata nell'elenco Principi selezionati.

        Puoi quindi aggiungere altri account o OUs la tua organizzazione ripetendo questo passaggio.

      • (Facoltativo) Per rimuovere un principale, individualo in Responsabili selezionati, seleziona la relativa casella di controllo, quindi scegli Deseleziona.

  10. Scegli Next (Successivo).

  11. Nel passaggio 4: Rivedi e aggiorna, esamina i dettagli di configurazione per la condivisione delle risorse.

  12. Per modificare la configurazione per qualsiasi passaggio, scegli il link corrispondente al passaggio a cui desideri tornare, quindi apporta le modifiche richieste.

    Se alcune autorizzazioni gestite utilizzano ancora versioni diverse da quella predefinita, hai un'altra opportunità per risolvere il problema scegliendo Aggiorna alla versione predefinita.

  13. Scegli Aggiorna condivisione risorse quando hai finito di apportare le modifiche.

AWS CLI
Per aggiornare una condivisione di risorse

È possibile utilizzare i seguenti AWS CLI comandi per modificare una condivisione di risorse:

  • Per rinominare una condivisione di risorse o modificare se sono consentiti i principali esterni, usa il comando update-resource-share. L'esempio seguente rinomina la condivisione di risorse specificata e la imposta in modo da consentire solo i principali membri della relativa organizzazione. È necessario utilizzare l'endpoint di servizio per la condivisione di risorse Regione AWS che contiene la condivisione di risorse. 

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • Per aggiungere una risorsa a una condivisione di risorse, usa il comando associate-resource-share. L'esempio seguente aggiunge una sottorete alla condivisione di risorse specificata.

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • Per aggiungere o sostituire un'autorizzazione gestita per un tipo di risorsa in una condivisione di risorse, utilizzare i comandi list-permissions e associate-resource-share-permission. È possibile assegnare solo un'autorizzazione gestita per tipo di risorsa in una condivisione di risorse. Se si tenta di aggiungere un'autorizzazione gestita a un tipo di risorsa che dispone già di un'autorizzazione gestita, è necessario includere l'--replaceopzione o il comando ha esito negativo e viene generato un errore.

    Il comando di esempio seguente elenca le ARNs autorizzazioni gestite disponibili per una sottorete Amazon Elastic Compute Cloud EC2 (Amazon), quindi utilizza una di queste ARNs per sostituire l'autorizzazione AWS gestita attualmente assegnata per quel tipo di risorsa nella condivisione di risorse specificata. 

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • Per rimuovere una risorsa da una condivisione di risorse, usa il comando disassociate-resource-share. L'esempio seguente rimuove la EC2 sottorete Amazon con la condivisione di risorse specificata ARN dalla condivisione di risorse specificata.

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • Per modificare i tag allegati a una condivisione di risorse, usa i comandi tag-resource e untag-resource. L'esempio seguente aggiunge il tag project=lima alla condivisione di risorse specificata.

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    L'esempio seguente rimuove il tag con una chiave di project dalla condivisione di risorse specificata.

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    I comandi di tagging non producono alcun risultato in caso di successo.