Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Compartir recursos de AWS de su propiedad
Para compartir un recurso de su propiedad utilizando AWS RAM, haga lo siguiente:
Notas
-
Compartir un recurso con entidades principales externas a la Cuenta de AWS propietaria del recurso no cambia los permisos ni las cuotas que se aplican al recurso en el ámbito de la cuenta que lo creó.
-
AWS RAM es un servicio regional. Las entidades principales con las que comparte pueden acceder únicamente a los recursos compartidos de las Regiones de AWS en las que se crearon.
-
Algunos recursos tienen consideraciones y requisitos previos especiales para su uso compartido. Para obtener más información, consulte Recursos que se pueden compartir AWS.
Habilitar el uso compartido de recursos en AWS Organizations
Cuando su cuenta esté administrada por AWS Organizations, puede aprovechar para compartir recursos más fácilmente. Con o sin organizaciones, un usuario puede compartir con cuentas individuales. Sin embargo, si su cuenta pertenece a una organización, puede compartir con cuentas individuales, así como con todas las cuentas de la organización o de una OU, sin necesidad de enumerar cada cuenta.
Para compartir recursos dentro de una organización, primero debe usar la consola de AWS RAM o AWS Command Line Interface (AWS CLI) para habilitar el uso compartido con AWS Organizations. Cuando comparte recursos en su organización, AWS RAM no envía invitaciones a las entidades principales. Las entidades principales de su organización obtienen acceso a los recursos compartidos sin necesidad de intercambiar invitaciones.
Al habilitar el uso compartido de recursos en su organización, AWS RAM crea un rol vinculado a un servicio denominado AWSServiceRoleForResourceAccessManager
. Este rol, que solo lo puede asumir el servicio AWS RAM, otorga a AWS RAM permiso para recuperar información sobre la organización de la que es miembro utilizando la política administrada de AWS AWSResourceAccessManagerServiceRolePolicy
.
Si ya no necesita compartir recursos con toda la organización o con determinadas OU, puede deshabilitar el uso compartido de recursos. Para obtener más información, consulte Deshabilitar el uso compartido de recursos con AWS Organizations.
Permisos mínimos
Para ejecutar los procedimientos que se describen a continuación, debe iniciar sesión como entidad principal en la cuenta de administración de la organización que tenga los siguientes permisos:
-
ram:EnableSharingWithAwsOrganization
-
iam:CreateServiceLinkedRole
-
organizations:enableAWSServiceAccess
-
organizations:DescribeOrganization
Requisitos
-
Solo puede realizar estos pasos si ha iniciado sesión como entidad principal en la cuenta de administración de la organización.
-
La organización debe tener todas las características habilitadas. Para obtener más información, consulte Habilitar todas las características en la organización en la Guía del usuario de AWS Organizations.
importante
Debe habilitar el uso compartido con AWS Organizations utilizando la consola de AWS RAM o el comando enable-sharing-with-aws-organization de la AWS CLI. Así se asegurará de crear el rol vinculado al servicio AWSServiceRoleForResourceAccessManager
. Si habilita el acceso de confianza con AWS Organizations utilizando la consola de AWS Organizations o el comando enable-aws-service-access de la AWS CLI, el rol vinculado al servicio AWSServiceRoleForResourceAccessManager
no se creará y no podrá compartir recursos dentro de la organización.
Crear un recurso compartido
Para compartir recursos de su propiedad, debe crear un recurso compartido. A continuación aparece información general sobre el proceso:
-
Añada los recursos que desea compartir.
-
Para cada tipo de recurso que incluya en el recurso compartido, especifique el permiso administrado que se debe utilizar para dicho tipo de recurso.
-
Puede elegir uno de los permisos administrados de AWS disponibles, un permiso administrado por el cliente existente, o bien crear un nuevo permiso administrado por el cliente.
-
AWS crea permisos administrados de AWS para cubrir los casos de uso más habituales.
-
Los permisos administrados por el cliente le permiten personalizar sus propios permisos administrados para adaptarlos a sus necesidades empresariales y de seguridad.
nota
Si el permiso administrado seleccionado tiene varias versiones, AWS RAM adjunta automáticamente la versión predeterminada. Solo es posible adjuntar la versión designada como predeterminada.
-
-
Especifique las entidades principales que desea que tengan acceso a los recursos.
Consideraciones
-
Si más adelante necesita eliminar un recurso de AWS que haya incluido en un recurso compartido, le recomendamos que elimine primero el recurso de cualquier recurso compartido que lo incluya, o bien que elimine el recurso compartido en su totalidad.
-
Puede ver una lista de los tipos de recursos que se pueden incluir en un recurso compartido en Recursos que se pueden compartir AWS.
-
Solo puede compartir recursos de su propiedad. No puede compartir recursos que se hayan compartido con usted.
-
AWS RAM es un servicio regional. Al compartir un recurso con entidades principales de otras Cuentas de AWS, dichas entidades principales deben acceder a cada recurso desde la misma Región de AWS en la que se creó. En el caso de los recursos globales compatibles, puede acceder a dichos recursos desde cualquier Región de AWS que sea compatible con la consola de servicio y las herramientas del recurso. Puede ver tales recursos compartidos y sus recursos globales en la consola y en las herramientas de AWS RAM únicamente en la región de origen designada, Este de EE. UU. (Norte de Virginia),
us-east-1
. Para obtener más información sobre AWS RAM y los recursos globales, consulte Compartir recursos regionales frente a recursos globales. -
Si la cuenta desde la que comparte forma parte de una organización de AWS Organizations y el uso compartido está habilitado dentro de la organización, todas las entidades principales de la organización con las que comparte obtienen automáticamente acceso a los recursos compartidos, sin necesidad de usar invitaciones. Una entidad principal de una cuenta con la que comparte fuera del contexto de una organización recibe una invitación para unirse al recurso compartido y solo obtiene acceso a los recursos compartidos tras aceptar la invitación.
Si comparte con una entidad principal de servicio, no podrá asociar ninguna otra entidad principal al recurso compartido.
-
Si el uso compartido es entre cuentas o entidades principales que forman parte de una organización, cualquier cambio en la pertenencia a la organización afectará de manera dinámica al acceso al recurso compartido.
-
Si añade una Cuenta de AWS a la organización o una OU que tenga acceso a un recurso compartido, la nueva cuenta de miembro obtiene acceso al recurso compartido automáticamente. El administrador de la cuenta con la que ha compartido puede entonces conceder a determinadas entidades principales de dicha cuenta acceso a los recursos del ese recurso compartido.
-
Si elimina una cuenta de la organización o una OU que tenga acceso a un recurso compartido, las entidades principales de dicha cuenta pierden automáticamente el acceso a los recursos a los que se accedía a través del recurso compartido.
-
Si ha compartido directamente con una cuenta de miembro o con roles o usuarios de IAM de la cuenta de miembro y, a continuación, la elimina de la organización, las entidades principales de esa cuenta pierden el acceso a los recursos a los que se accedía a través del recurso compartido.
importante
Cuando comparte con una organización o unidad organizativa, y ese ámbito incluye la cuenta propietaria del recurso compartido, todas las entidades principales de la cuenta compartida automáticamente obtienen acceso a los recursos del recurso compartido. El acceso concedido viene definido por los permisos administrados asociados al recurso compartido. Esto se debe a que la política basada en recursos que AWS RAM adjunta a cada recurso del recurso compartido utiliza
"Principal": "*"
. Para obtener más información, consulte Implicaciones del uso de "Principal": "*" en una política basada en recursos.Las entidades principales de las demás cuentas consumidoras no obtienen acceso a los recursos del recurso compartido de inmediato. Los administradores de las demás cuentas primero deben adjuntar políticas de permisos basados en identidad a las entidades principales correspondientes. Tales políticas deben conceder acceso
Allow
a los ARN de los recursos individuales del recurso compartido. Los permisos de dichas políticas no pueden superar los especificados en el permiso administrado asociado al recurso compartido. -
-
Solo puede añadir la organización a la que pertenece su cuenta y las OU de dicha organización a sus recursos compartidos. No puede añadir como entidades principales a un recurso compartido OU ni organizaciones que no pertenezcan a su propia organización. Sin embargo, sí puede añadir Cuentas de AWS individuales o, en el caso de los servicios compatibles, roles y usuarios de IAM de fuera de la organización como entidades principales a un recurso compartido.
nota
No todos los tipos de recursos se pueden compartir con los roles y los usuarios de IAM. Para obtener información sobre los recursos que puede compartir con estas entidades principales, consulte Recursos que se pueden compartir AWS.
Para los siguientes tipos de recursos, dispone de siete días para aceptar la invitación a unirse al recurso compartido para los siguientes tipos de recursos. Si no acepta la invitación antes de que caduque, esta se rechazará automáticamente.
importante
En el caso de los tipos de recursos compartidos que no figuran en la lista siguiente, dispone de 12 horas para aceptar la invitación a unirse al recurso compartido. Transcurridas 12 horas, la invitación caduca y se elimina la asociación de la entidad principal de usuario final del recurso compartido. Los usuarios finales ya no pueden aceptar la invitación.
-
Amazon Aurora: clústeres de base de datos (DB)
-
Amazon EC2: reservas de capacidad y hosts dedicados
-
AWS License Manager: configuraciones de licencias
-
AWS Outposts: tablas de ruta de puerta de enlace local, outposts y sitios
-
Amazon Route 53: reglas de reenvío
-
Amazon VPC: direcciones IPv4 propiedad del cliente, listas de prefijos, subredes, destinos de reflejo de tráfico, puertas de enlace de tránsito, dominios de multidifusión de puerta de enlace de tránsito
-