Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Crear un recurso compartido en AWS RAM
Para compartir recursos de su propiedad, debe crear un recurso compartido. A continuación se ofrece información general sobre el proceso:
-
Añada los recursos que desea compartir.
-
Para cada tipo de recurso que incluya en el recurso compartido, especifique el permiso administrado que se debe utilizar para dicho tipo de recurso.
-
Puede elegir uno de los permisos administrados de AWS disponibles, un permiso administrado por el cliente existente, o bien crear un nuevo permiso administrado por el cliente.
-
AWS crea permisos administrados de AWS para cubrir los casos de uso más habituales.
-
Los permisos administrados por el cliente le permiten personalizar sus propios permisos administrados para adaptarlos a sus necesidades empresariales y de seguridad.
nota
Si el permiso administrado seleccionado tiene varias versiones, AWS RAM adjunta automáticamente la versión predeterminada. Solo es posible adjuntar la versión designada como predeterminada.
-
-
Especifique las entidades principales que desea que tengan acceso a los recursos.
Consideraciones
-
Si más adelante necesita eliminar un recurso de AWS que haya incluido en un recurso compartido, le recomendamos que elimine primero el recurso de cualquier recurso compartido que lo incluya, o bien que elimine el recurso compartido en su totalidad.
-
Puede ver una lista de los tipos de recursos que se pueden incluir en un recurso compartido en Recursos que se pueden compartir AWS.
-
Solo puede compartir los recursos que sean de su propiedad. No puede compartir recursos que se hayan compartido con usted.
-
AWS RAM es un servicio regional. Al compartir un recurso con entidades principales de otras Cuentas de AWS, dichas entidades principales deben acceder a cada recurso desde la misma Región de AWS en la que se creó. En el caso de los recursos globales compatibles, puede acceder a dichos recursos desde cualquier Región de AWS que sea compatible con la consola de servicio y las herramientas del recurso. Puede ver tales recursos compartidos y sus recursos globales en la consola y en las herramientas de AWS RAM únicamente en la región de origen designada, Este de EE. UU. (Norte de Virginia),
us-east-1
. Para obtener más información sobre AWS RAM y los recursos globales, consulte Compartir recursos regionales frente a recursos globales. -
Si la cuenta desde la que comparte forma parte de una organización de AWS Organizations y el uso compartido está habilitado dentro de la organización, todas las entidades principales de la organización con las que comparte obtienen automáticamente acceso a los recursos compartidos, sin necesidad de usar invitaciones. Una entidad principal de una cuenta con la que comparte fuera del contexto de una organización recibe una invitación para unirse al recurso compartido y solo obtiene acceso a los recursos compartidos tras aceptar la invitación.
Si comparte con una entidad principal de servicio, no podrá asociar ninguna otra entidad principal al recurso compartido.
-
Si el uso compartido es entre cuentas o entidades principales que forman parte de una organización, cualquier cambio en la pertenencia a la organización afectará de manera dinámica al acceso al recurso compartido.
-
Si añade una Cuenta de AWS a la organización o una OU que tenga acceso a un recurso compartido, la nueva cuenta de miembro obtiene acceso al recurso compartido automáticamente. El administrador de la cuenta con la que ha compartido puede entonces conceder a determinadas entidades principales de dicha cuenta acceso a los recursos del ese recurso compartido.
-
Si elimina una cuenta de la organización o una OU que tenga acceso a un recurso compartido, las entidades principales de dicha cuenta pierden automáticamente el acceso a los recursos a los que se accedía a través del recurso compartido.
-
Si ha compartido directamente con una cuenta de miembro o con roles o usuarios de IAM de la cuenta de miembro y, a continuación, la elimina de la organización, las entidades principales de esa cuenta pierden el acceso a los recursos a los que se accedía a través del recurso compartido.
importante
Cuando comparte con una organización o OU, y ese ámbito incluye la cuenta propietaria del recurso compartido, todas las entidades principales de la cuenta compartida automáticamente obtienen acceso a los recursos del recurso compartido. El acceso concedido viene definido por los permisos administrados asociados al recurso compartido. Esto se debe a que la política basada en recursos que AWS RAM adjunta a cada recurso del recurso compartido utiliza
"Principal": "*"
. Para obtener más información, consulte Implicaciones del uso de "Principal": "*" en una política basada en recursos.Las entidades principales de las demás cuentas consumidoras no obtienen acceso a los recursos del recurso compartido de inmediato. Los administradores de las demás cuentas primero deben adjuntar políticas de permisos basados en identidad a las entidades principales correspondientes. Tales políticas deben conceder acceso
Allow
a los ARN de los recursos individuales del recurso compartido. Los permisos de dichas políticas no pueden superar los especificados en el permiso administrado asociado al recurso compartido. -
-
Solo puede añadir la organización a la que pertenece su cuenta y las OU de dicha organización a sus recursos compartidos. No puede añadir como entidades principales a un recurso compartido OU ni organizaciones que no pertenezcan a su propia organización. Sin embargo, sí puede añadir Cuentas de AWS individuales o, en el caso de los servicios compatibles, roles y usuarios de IAM de fuera de la organización como entidades principales a un recurso compartido.
nota
No todos los tipos de recursos se pueden compartir con roles y los usuarios de IAM. Para obtener información sobre los recursos que puede compartir con estas entidades principales, consulte Recursos que se pueden compartir AWS.
Para los siguientes tipos de recursos, dispone de siete días para aceptar la invitación a unirse al recurso compartido para los siguientes tipos de recursos. Si no acepta la invitación antes de que caduque, esta se rechazará automáticamente.
importante
En el caso de los tipos de recursos compartidos que no figuran en la lista siguiente, dispone de 12 horas para aceptar la invitación a unirse al recurso compartido. Transcurridas 12 horas, la invitación caduca y se elimina la asociación de la entidad principal de usuario final del recurso compartido. Los usuarios finales ya no pueden aceptar la invitación.
-
Amazon Aurora: clústeres de base de datos (DB)
-
Amazon EC2: reservas de capacidad y hosts dedicados
-
AWS License Manager: configuraciones de licencias
-
AWS Outposts: tablas de enrutamiento de puerta de enlace, outposts y sitios
-
Amazon Route 53: reglas de reenvío
-
Amazon VPC: direcciones IPv4 propiedad del cliente, listas de prefijos, subredes, destinos de reflejo de tráfico, puertas de enlace de tránsito, dominios de multidifusión de puerta de enlace de tránsito
-