Compartir recursos de AWS de su propiedad - AWS Resource Access Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Compartir recursos de AWS de su propiedad

Para compartir un recurso de su propiedad utilizando AWS RAM, haga lo siguiente:

Notas
  • Compartir un recurso con entidades principales externas a la Cuenta de AWS propietaria del recurso no cambia los permisos ni las cuotas que se aplican al recurso en el ámbito de la cuenta que lo creó.

  • AWS RAM es un servicio regional. Las entidades principales con las que comparte pueden acceder únicamente a los recursos compartidos de las Regiones de AWS en las que se crearon.

  • Algunos recursos tienen consideraciones y requisitos previos especiales para su uso compartido. Para obtener más información, consulte Recursos que se pueden compartir AWS.

Habilitar el uso compartido de recursos en AWS Organizations

Cuando su cuenta esté administrada por AWS Organizations, puede aprovechar para compartir recursos más fácilmente. Con o sin organizaciones, un usuario puede compartir con cuentas individuales. Sin embargo, si su cuenta pertenece a una organización, puede compartir con cuentas individuales, así como con todas las cuentas de la organización o de una OU, sin necesidad de enumerar cada cuenta.

Para compartir recursos dentro de una organización, primero debe usar la consola de AWS RAM o AWS Command Line Interface (AWS CLI) para habilitar el uso compartido con AWS Organizations. Cuando comparte recursos en su organización, AWS RAM no envía invitaciones a las entidades principales. Las entidades principales de su organización obtienen acceso a los recursos compartidos sin necesidad de intercambiar invitaciones.

Al habilitar el uso compartido de recursos en su organización, AWS RAM crea un rol vinculado a un servicio denominado AWSServiceRoleForResourceAccessManager. Este rol, que solo lo puede asumir el servicio AWS RAM, otorga a AWS RAM permiso para recuperar información sobre la organización de la que es miembro utilizando la política administrada de AWS AWSResourceAccessManagerServiceRolePolicy.

Si ya no necesita compartir recursos con toda la organización o con determinadas OU, puede deshabilitar el uso compartido de recursos. Para obtener más información, consulte Deshabilitar el uso compartido de recursos con AWS Organizations.

Permisos mínimos

Para ejecutar los procedimientos que se describen a continuación, debe iniciar sesión como entidad principal en la cuenta de administración de la organización que tenga los siguientes permisos:

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

Requisitos
  • Solo puede realizar estos pasos si ha iniciado sesión como entidad principal en la cuenta de administración de la organización.

  • La organización debe tener todas las características habilitadas. Para obtener más información, consulte Habilitar todas las características en la organización en la Guía del usuario de AWS Organizations.

importante

Debe habilitar el uso compartido con AWS Organizations utilizando la consola de AWS RAM o el comando enable-sharing-with-aws-organization de la AWS CLI. Así se asegurará de crear el rol vinculado al servicio AWSServiceRoleForResourceAccessManager. Si habilita el acceso de confianza con AWS Organizations utilizando la consola de AWS Organizations o el comando enable-aws-service-access de la AWS CLI, el rol vinculado al servicio AWSServiceRoleForResourceAccessManager no se creará y no podrá compartir recursos dentro de la organización.

Console
Para habilitar el uso compartido de recursos dentro de la organización
  1. Abra la página Configuración en la consola de AWS RAM.

  2. Seleccione Habilitar el uso compartido con AWS Organizations y, a continuación, seleccione Guardar configuración.

AWS CLI
Para habilitar el uso compartido de recursos dentro de la organización

Utilice el comando enable-sharing-with-aws-organization.

Este comando se puede usar en cualquier Región de AWS, y habilita el uso compartido con AWS Organizations en todas las regiones en las que se admite AWS RAM.

$ aws ram enable-sharing-with-aws-organization { "returnValue": true }

Crear un recurso compartido

Para compartir recursos de su propiedad, debe crear un recurso compartido. A continuación aparece información general sobre el proceso:

  1. Añada los recursos que desea compartir.

  2. Para cada tipo de recurso que incluya en el recurso compartido, especifique el permiso administrado que se debe utilizar para dicho tipo de recurso.

    • Puede elegir uno de los permisos administrados de AWS disponibles, un permiso administrado por el cliente existente, o bien crear un nuevo permiso administrado por el cliente.

    • AWS crea permisos administrados de AWS para cubrir los casos de uso más habituales.

    • Los permisos administrados por el cliente le permiten personalizar sus propios permisos administrados para adaptarlos a sus necesidades empresariales y de seguridad.

    nota

    Si el permiso administrado seleccionado tiene varias versiones, AWS RAM adjunta automáticamente la versión predeterminada. Solo es posible adjuntar la versión designada como predeterminada.

  3. Especifique las entidades principales que desea que tengan acceso a los recursos.

Consideraciones
  • Si más adelante necesita eliminar un recurso de AWS que haya incluido en un recurso compartido, le recomendamos que elimine primero el recurso de cualquier recurso compartido que lo incluya, o bien que elimine el recurso compartido en su totalidad.

  • Puede ver una lista de los tipos de recursos que se pueden incluir en un recurso compartido en Recursos que se pueden compartir AWS.

  • Solo puede compartir recursos de su propiedad. No puede compartir recursos que se hayan compartido con usted.

  • AWS RAM es un servicio regional. Al compartir un recurso con entidades principales de otras Cuentas de AWS, dichas entidades principales deben acceder a cada recurso desde la misma Región de AWS en la que se creó. En el caso de los recursos globales compatibles, puede acceder a dichos recursos desde cualquier Región de AWS que sea compatible con la consola de servicio y las herramientas del recurso. Puede ver tales recursos compartidos y sus recursos globales en la consola y en las herramientas de AWS RAM únicamente en la región de origen designada, Este de EE. UU. (Norte de Virginia), us-east-1. Para obtener más información sobre AWS RAM y los recursos globales, consulte Compartir recursos regionales frente a recursos globales.

  • Si la cuenta desde la que comparte forma parte de una organización de AWS Organizations y el uso compartido está habilitado dentro de la organización, todas las entidades principales de la organización con las que comparte obtienen automáticamente acceso a los recursos compartidos, sin necesidad de usar invitaciones. Una entidad principal de una cuenta con la que comparte fuera del contexto de una organización recibe una invitación para unirse al recurso compartido y solo obtiene acceso a los recursos compartidos tras aceptar la invitación.

  • Si comparte con una entidad principal de servicio, no podrá asociar ninguna otra entidad principal al recurso compartido.

  • Si el uso compartido es entre cuentas o entidades principales que forman parte de una organización, cualquier cambio en la pertenencia a la organización afectará de manera dinámica al acceso al recurso compartido.

    • Si añade una Cuenta de AWS a la organización o una OU que tenga acceso a un recurso compartido, la nueva cuenta de miembro obtiene acceso al recurso compartido automáticamente. El administrador de la cuenta con la que ha compartido puede entonces conceder a determinadas entidades principales de dicha cuenta acceso a los recursos del ese recurso compartido.

    • Si elimina una cuenta de la organización o una OU que tenga acceso a un recurso compartido, las entidades principales de dicha cuenta pierden automáticamente el acceso a los recursos a los que se accedía a través del recurso compartido.

    • Si ha compartido directamente con una cuenta de miembro o con roles o usuarios de IAM de la cuenta de miembro y, a continuación, la elimina de la organización, las entidades principales de esa cuenta pierden el acceso a los recursos a los que se accedía a través del recurso compartido.

    importante

    Cuando comparte con una organización o unidad organizativa, y ese ámbito incluye la cuenta propietaria del recurso compartido, todas las entidades principales de la cuenta compartida automáticamente obtienen acceso a los recursos del recurso compartido. El acceso concedido viene definido por los permisos administrados asociados al recurso compartido. Esto se debe a que la política basada en recursos que AWS RAM adjunta a cada recurso del recurso compartido utiliza "Principal": "*". Para obtener más información, consulte Implicaciones del uso de "Principal": "*" en una política basada en recursos.

    Las entidades principales de las demás cuentas consumidoras no obtienen acceso a los recursos del recurso compartido de inmediato. Los administradores de las demás cuentas primero deben adjuntar políticas de permisos basados en identidad a las entidades principales correspondientes. Tales políticas deben conceder acceso Allow a los ARN de los recursos individuales del recurso compartido. Los permisos de dichas políticas no pueden superar los especificados en el permiso administrado asociado al recurso compartido.

  • Solo puede añadir la organización a la que pertenece su cuenta y las OU de dicha organización a sus recursos compartidos. No puede añadir como entidades principales a un recurso compartido OU ni organizaciones que no pertenezcan a su propia organización. Sin embargo, sí puede añadir Cuentas de AWS individuales o, en el caso de los servicios compatibles, roles y usuarios de IAM de fuera de la organización como entidades principales a un recurso compartido.

    nota

    No todos los tipos de recursos se pueden compartir con los roles y los usuarios de IAM. Para obtener información sobre los recursos que puede compartir con estas entidades principales, consulte Recursos que se pueden compartir AWS.

  • Para los siguientes tipos de recursos, dispone de siete días para aceptar la invitación a unirse al recurso compartido para los siguientes tipos de recursos. Si no acepta la invitación antes de que caduque, esta se rechazará automáticamente.

    importante

    En el caso de los tipos de recursos compartidos que no figuran en la lista siguiente, dispone de 12 horas para aceptar la invitación a unirse al recurso compartido. Transcurridas 12 horas, la invitación caduca y se elimina la asociación de la entidad principal de usuario final del recurso compartido. Los usuarios finales ya no pueden aceptar la invitación.

    • Amazon Aurora: clústeres de base de datos (DB)

    • Amazon EC2: reservas de capacidad y hosts dedicados

    • AWS License Manager: configuraciones de licencias

    • AWS Outposts: tablas de ruta de puerta de enlace local, outposts y sitios

    • Amazon Route 53: reglas de reenvío

    • Amazon VPC: direcciones IPv4 propiedad del cliente, listas de prefijos, subredes, destinos de reflejo de tráfico, puertas de enlace de tránsito, dominios de multidifusión de puerta de enlace de tránsito

Console
Para crear un recurso compartido
  1. Abra la consola de AWS RAM.

  2. Puesto que los recursos compartidos de AWS RAM son específicos de las diferentes Regiones de AWS, elija la Región de AWS que corresponda en la lista desplegable de la esquina superior derecha de la consola. Para ver los recursos compartidos que contienen recursos globales, debe definir la Región de AWS como Este de EE. UU. (Norte de Virginia), (us-east-1). Para obtener información sobre cómo compartir recursos globales, consulte Compartir recursos regionales frente a recursos globales. Si desea incluir recursos globales en el recurso compartido, debe elegir la región de origen designada, Este de EE. UU. (Norte de Virginia),us-east-1.

  3. Si es la primera vez que utiliza AWS RAM, elija Crear un recurso compartido desde la página de inicio. De lo contrario, elija Crear recurso compartido en la página Compartidos por mí: recursos compartidos.

  4. En Paso 1: Especifique los detalles del recurso compartido, haga lo siguiente:

    1. En Nombre, introduzca un nombre descriptivo para el recurso compartido.

    2. En Recursos, elija los recursos que desea añadir al recurso compartido de la siguiente manera:

      • En Seleccionar tipo de recurso, elija el tipo de recurso que desea compartir. Esta acción filtra la lista de recursos que se pueden compartir y muestra solo los recursos del tipo seleccionado.

      • En la lista de recursos resultante, seleccione las casillas de verificación situadas junto a los recursos individuales que desea compartir. Los recursos seleccionados se mueven a Recursos seleccionados.

        Si va a compartir recursos asociados a una zona de disponibilidad concreta, usar el ID de zona de disponibilidad (ID de AZ) le ayudará a determinar la ubicación relativa de los recursos en las distintas cuentas. Para obtener más información, consulte ID de zona de disponibilidad para sus recursos de AWS.

    3. (Opcional) Para adjuntar etiquetas al recurso compartido, en Etiquetas, introduzca una clave y un valor de etiqueta. Para añadir otras, elija Añadir nueva etiqueta. Repita este paso tantas veces como sea necesario. Estas etiquetas se aplican únicamente al recurso compartido propiamente dicho, no a los recursos que este contiene.

  5. Elija Siguiente.

  6. En Paso 2: Asociar un permiso administrado a cada tipo de recurso, puede optar por asociar un permiso administrado creado por AWS al tipo de recurso, elegir un permiso administrado por el cliente existente o crear su propio permiso administrado por el cliente para los tipos de recursos compatibles. Para obtener más información, consulte Tipos de permisos administrados.

    Elija Crear permiso administrado por el cliente para crear un permiso administrado por el cliente que cumpla los requisitos de su caso de uso compartido. Para obtener más información, consulte Crear un permiso administrado por el cliente. Una vez que haya completado el proceso, elija Refresh icon y, a continuación, podrá seleccionar el nuevo permiso administrado por el cliente en la lista desplegable Permisos administrados.

    nota

    Si el permiso administrado seleccionado tiene varias versiones, AWS RAM adjunta automáticamente la versión predeterminada. Solo es posible adjuntar la versión designada como predeterminada.

    Para que se muestren las acciones que permite el permiso administrado, expanda Ver la plantilla de política de este permiso administrado.

  7. Elija Siguiente.

  8. En Paso 3: Otorgar acceso a entidades principales, haga lo siguiente:

    1. De manera predeterminada, está seleccionada la opción Permitir compartir con cualquiera, lo que significa que, en el caso de los tipos de recursos que lo admiten, puede compartir recursos con Cuentas de AWS externas a la organización. Esto no afecta a los tipos de recursos que solo se pueden compartir dentro de una organización, como las subredes de Amazon VPC. También puede compartir algunos tipos de recursos compatibles con roles y usuarios de IAM.

      Para restringir la capacidad de compartir recursos solo a las cuentas y entidades principales de su organización, elija Permitir compartir solo dentro de la organización.

    2. En Entidades principales, haga lo siguiente:

      • Para añadir la organización, una unidad organizativa (OU) o una Cuenta de AWS que forme parte de una organización, active Mostrar estructura organizativa. Se muestra una vista en árbol de la organización. A continuación, seleccione la casilla de verificación situada junto a cada entidad principal que desea añadir.

        importante

        Cuando comparte con una organización o unidad organizativa, y ese ámbito incluye la cuenta propietaria del recurso compartido, todas las entidades principales de la cuenta compartida automáticamente obtienen acceso a los recursos del recurso compartido. El acceso concedido viene definido por los permisos administrados asociados al recurso compartido. Esto se debe a que la política basada en recursos que AWS RAM adjunta a cada recurso del recurso compartido utiliza "Principal": "*". Para obtener más información, consulte Implicaciones del uso de "Principal": "*" en una política basada en recursos.

        Las entidades principales de las demás cuentas consumidoras no obtienen acceso a los recursos del recurso compartido de inmediato. Los administradores de las demás cuentas primero deben adjuntar políticas de permisos basados en identidad a las entidades principales correspondientes. Tales políticas deben conceder acceso Allow a los ARN de los recursos individuales del recurso compartido. Los permisos de dichas políticas no pueden superar los especificados en el permiso administrado asociado al recurso compartido.

        • Si selecciona la organización (el ID comienza por o-), las entidades principales de todas las Cuentas de AWS de la organización podrán acceder al recurso compartido.

        • Si selecciona una OU (el ID comienza por ou-), las entidades principales de todas las Cuentas de AWS de dicha unidad organizativa y sus unidades organizativas secundarias podrán acceder al recurso compartido.

        • Si selecciona una Cuenta de AWS individual, solo las entidades principales de dicha cuenta podrán acceder al recurso compartido.

        nota

        La opción Mostrar estructura organizativa aparece solo si la opción de compartir con AWS Organizations está habilitada y si se ha iniciado sesión en la cuenta de administración de la organización.

        No puede usar este método para especificar una Cuenta de AWS externa a la organización o un rol o usuario de IAM. En su lugar, debe desactivar la opción Mostrar estructura organizativa y usar la lista desplegable y el cuadro de texto para introducir el ID o el ARN.

      • Para especificar una entidad principal mediante el ID o el ARN, incluidos las entidades principales externas a la organización, seleccione el tipo de entidad principal en cada caso. A continuación, introduzca el ID (si se trata de una Cuenta de AWS, una organización o una OU) o el ARN (si se trata de un rol o un usuario de IAM) y, a continuación, elija Añadir. Los tipos de entidades principales y los formatos de ID y ARN disponibles son los siguientes:

        • Cuenta de AWS: para añadir una Cuenta de AWS, introduzca el ID de 12 dígitos de la cuenta. Por ejemplo:

          123456789012

        • Organización: para añadir todas las Cuentas de AWS de la organización, introduzca el ID de la organización. Por ejemplo:

          o-abcd1234

        • Unidad organizativa (OU): para añadir una OU, introduzca el ID de la OU. Por ejemplo:

          ou-abcd-1234efgh

        • Rol de IAM: para añadir un rol de IAM, introduzca el ARN del rol. Utilice la siguiente sintaxis:

          arn:partition:iam::account:role/role-name

          Por ejemplo:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          nota

          Para obtener el ARN único de un rol de IAM, consulte la lista de roles en la consola de IAM y utilice el comando get-role de la AWS CLI o la acción GetRole de la API.

        • Usuario de IAM: para añadir un usuario de IAM, introduzca el ARN del usuario. Utilice la siguiente sintaxis:

          arn:partition:iam::account:user/user-name

          Por ejemplo:

          arn:aws:iam::123456789012:user/bob

          nota

          Para obtener el ARN único de un usuario de IAM, consulte la lista de usuarios en la consola de IAM y utilice el comando get-user de la AWS CLI o la acción GetUser de la API.

      • Entidad principal de servicio: para añadir una entidad principal de servicio, elija Entidad principal de servicio en el cuadro desplegable Seleccionar tipo de entidad principal. Introduzca el nombre de la entidad principal de servicio de AWS. Utilice la siguiente sintaxis:

        • service-id.amazonaws.com

          Por ejemplo:

          pca-connector-ad.amazonaws.com

    3. En Entidades principales seleccionadas, compruebe que las entidades principales que ha especificado figuran en la lista.

  9. Elija Siguiente.

  10. En Paso 4: Revisión y creación, revise los detalles de configuración del recurso compartido. Para cambiar la configuración de cualquier paso, elija el enlace correspondiente al paso al que desea volver y realice los cambios necesarios.

  11. Cuando haya terminado de revisar el recurso compartido, elija Crear recurso compartido.

    La asociación del recurso y la entidad principal puede tardar unos minutos en completarse. Espere a que finalice el proceso antes de intentar utilizar el recurso compartido.

  12. Puede añadir y eliminar recursos y entidades principales, o aplicar etiquetas personalizadas al recurso compartido en cualquier momento. Puede cambiar el permiso administrado de los tipos de recursos que se incluyen en el recurso compartido para aquellos tipos que admitan más permisos que el permiso administrado predeterminado. Puede eliminar el recurso compartido cuando ya no desee compartir los recursos. Para obtener más información, consulte Compartir AWS recursos de su propiedad.

AWS CLI
Para crear un recurso compartido

Use el comando create-resource-share. El siguiente comando crea un recurso compartido que se comparte con todas las Cuentas de AWS de la organización. El recurso compartido contiene una configuración de licencia de AWS License Manager y concede los permisos administrados predeterminados para ese tipo de recurso.

nota

Si desea usar un permiso administrado por el cliente con un tipo de recurso en este recurso compartido, puede usar uno existente o crear uno nuevo. Anote el ARN del permiso administrado por el cliente y, a continuación, cree el recurso compartido. Para obtener más información, consulte Crear un permiso administrado por el cliente.

$ aws ram create-resource-share \ --region us-east-1 \ --name MyLicenseConfigShare \ --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \ --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \ --principals arn:aws:organizations::123456789012:organization/o-1234abcd { "resourceShare": { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543", "name": "MyLicenseConfigShare", "owningAccountId": "123456789012", "allowExternalPrincipals": true, "status": "ACTIVE", "creationTime": "2021-09-14T20:42:40.266000-07:00", "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00" } }