Mettre à jour un partage de ressources dansAWS RAM - AWS Resource Access Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Mettre à jour un partage de ressources dansAWS RAM

Vous pouvez mettre à jour un partage de ressourcesAWS RAM à tout moment des manières suivantes :

  • Vous pouvez ajouter des principes, des ressources ou des balises à un partage de ressources que vous avez créé.

  • Pour les types de ressources qui prennent en charge plus que l'autorisationAWS gérée par défaut, vous pouvez choisir l'autorisation gérée qui s'applique aux ressources de chaque type.

  • Lorsqu'une autorisation gérée associée au partage de ressources possède une nouvelle version par défaut, vous pouvez mettre à jour l'autorisation gérée pour utiliser la nouvelle version.

  • Vous pouvez révoquer l'accès à des ressources partagées en supprimant les principaux ou les ressources d'un partage de ressources. Si vous révoquez l'accès, les responsables n'ont plus accès aux ressources partagées.

Note

Les responsables avec lesquels vous partagez des ressources peuvent quitter votre partage de ressources si celui-ci est vide ou s'il ne contient que des types de ressources permettant de quitter un partage de ressources. Si le partage de ressources contient des types de ressources qui ne prennent pas en charge le départ, un message s'affiche pour informer les responsables qu'ils doivent contacter le propriétaire du partage. Dans ce cas, en tant que propriétaire du partage de ressources, vous devez supprimer les principaux de votre partage de ressources. Pour afficher la liste des types de ressources ne prenant pas en charge cette action, consultezConditions préalables pour quitter un partage de ressources.

Console
Pour mettre à jour un partage des ressources.

  1. Accédez à la page Partagée par moi : partages de ressources dans laAWS RAM console.

  2. Étant donné que les partages desAWS RAM ressources existentRégion AWS de manière spécifiqueRégions AWS, choisissez la clé appropriée dans la liste déroulante en haut à droite de la console. Pour afficher les partages de ressources qui contiennent des ressources globales, vous devezRégion AWS définir le sur USA Est (Virginie du Nord), (us-east-1). Pour plus d'informations sur le partage des ressources globales, consultezPartage des ressources régionales par rapport aux ressources mondiales.

  3. Sélectionnez le partage de ressources, puis choisissez Modifier.

  4. À l'étape 1 : Spécifiez les détails du partage de ressources, passez en revue les détails du partage de ressources et, si nécessaire, mettez à jour l'un des éléments suivants :

    1. (Facultatif) Pour modifier le nom du partage des ressources, modifiez le nom.

    2. (Facultatif) Pour ajouter une ressource au partage de ressources, sous Ressources, choisissez le type de ressource, puis cochez la case à côté de la ressource pour l'ajouter au partage de ressources. Les ressources globales n'apparaissent que si vous définissez la région sur USA Est (Virginie du Nord), (us-east-1) dans leAWS Management Console.

    3. (Facultatif) Pour supprimer une ressource du partage de ressources, localisez la ressource sous Ressources sélectionnées, puis choisissez le X à côté de l'identifiant de la ressource.

    4. (Facultatif) Pour ajouter une identification au partage de ressources, sous balise, saisissez une clé et une valeur de ressources. Pour ajouter plusieurs paires clé/valeur de balise, choisissez Ajouter une nouvelle balise. Vous pouvez ajouter jusqu'à 50 balises.

    5. Pour supprimer une étiquette du partage de ressources, sous Balises, localisez la balise et choisissez Supprimer à côté de celle-ci.

  5. Choisissez Suivant.

  6. (Facultatif) À l'étape 2 : associer une autorisation gérée à chaque type de ressource, vous pouvez choisir d'associer une autorisation gérée créée parAWS le type de ressource, choisir une autorisation gérée par le client existante ou créer votre propre autorisation gérée par le client. Pour plus d'informations, veuillez consulter Types d'autorisations gérées.

    Vous pouvez également choisir Créer une autorisation gérée par le client pour créer une autorisation gérée par le client qui répond aux exigences de votre cas d'utilisation en matière de partage. Pour plus d'informations, veuillez consulter Créer une autorisation gérée par le client. Une fois le processus terminé, choisissez Refresh icon , puis sélectionnez votre nouvelle autorisation gérée par le client dans la liste déroulante des autorisations gérées.

    Pour afficher les actions autorisées par l'autorisation gérée, cliquez sur Afficher le modèle de politique pour cette autorisation gérée.

  7. Si la version de l'autorisation gérée actuellement attribuée au partage de ressources n'est pas la version par défaut actuelle, vous pouvez effectuer la mise à jour vers la version par défaut en choisissant Mettre à jour vers la version par défaut.

    Note

    Tant que vous n'avez pas enregistré les modifications apportées au partage de ressources après la dernière étape, vous pouvez annuler la mise à jour de version en choisissant Revenir à la version précédente. Toutefois, pour les autorisationsAWS gérées, une fois que vous avez enregistré le partage de ressources, la modification est définitive et vous ne pouvez plus revenir à la version précédente.

  8. Choisissez Suivant.

  9. À l'étape 3 : choisissez les principaux auxquels l'accès est autorisé, passez en revue les principaux sélectionnés et, si nécessaire, mettez à jour l'un des éléments suivants :

    1. (Facultatif) Pour modifier si le partage est activé avec des responsables au sein ou en dehors de votre organisation, choisissez l'une des options suivantes :

      • Pour partager des ressources avec des rôlesComptes AWS ou des utilisateurs IAM individuels qui ne font pas partie de votre organisation, choisissez Autoriser le partage avec des responsables externes.

      • Pour restreindre le partage des ressources aux seuls responsables de votre organisationAWS Organizations, choisissez Autoriser le partage uniquement avec les responsables de votre organisation.

    2. Pour Principals, procédez comme suit :

      • (Facultatif) Pour ajouter une organisation, une unité organisationnelle (UO) ou un membre auCompte AWS sein de votre organisation, activez l'option Afficher la structure organisationnelle pour afficher une arborescence de votre organisation. Sélectionnez ensuite la case à cocher en regard de chaque principal que vous souhaitez ajouter.

        Important

        Lorsque vous partagez avec une organisation ou une unité d'organisation, et que cette étendue inclut le compte propriétaire du partage de ressources, tous les responsables du compte de partage ont automatiquement accès aux ressources du partage. L'accès accordé est défini par les autorisations gérées associées au partage. Cela est dû au fait que la politique basée sur les ressources quiAWS RAM s'attache à chaque ressource du partage utilise"Principal": "*". Pour plus d'informations, veuillez consulter Implications de l'utilisation"Principal": "*"dans une politique basée sur les ressources.

        Les propriétaires des autres comptes consommateurs n'ont pas immédiatement accès aux ressources de l'action. Les administrateurs des autres comptes doivent d'abord associer des politiques d'autorisation basées sur l'identité aux principaux responsables appropriés. Ces politiques doivent accorder l'Allowaccès aux ARN des ressources individuelles incluses dans le partage de ressources. Les autorisations définies dans ces politiques ne peuvent pas dépasser celles spécifiées dans l'autorisation gérée associée au partage de ressources.

        Note

        Le bouton Afficher la structure organisationnelle apparaît uniquement si le partage avecAWS Organizations est activé et que vous êtes connecté en tant que principal au compte de gestion de l'organisation.

        Vous ne pouvez pas utiliser cette méthode pour spécifier un utilisateur ou un rôle IAMCompte AWS externe à votre organisation. Vous devez plutôt ajouter ces principaux en saisissant leurs identifiants, qui sont affichés dans la zone de texte située sous le bouton Afficher la structure organisationnelle. Consultez le bullet suivant.

      • (Facultatif) Pour ajouter un principal par son identifiant, choisissez le type de principal dans la liste déroulante, puis entrez l'ID ou l'ARN du principal. Enfin, choisissez Ajouter.

        Si vous sélectionnez une personneCompte AWS, seul ce compte peut accéder au partage de ressources. Vous pouvez choisir l'une des options suivantes :

        • AutreCompte AWS (autre que le propriétaire de la ressource) : met la ressource à la disposition de l'autre compte. L'administrateur de ce compte doit terminer le processus en accordant l'accès à la ressource partagée à l'aide de politiques d'autorisation basées sur l'identité à des rôles et à des utilisateurs individuels. Ces autorisations ne peuvent pas dépasser celles définies dans les autorisations gérées associées au partage de ressources.

        • CeciCompte AWS (propriétaire de la ressource) : tous les rôles et utilisateurs du compte propriétaire de la ressource reçoivent automatiquement l'accès défini par les autorisations gérées associées au partage de ressources.

      • L'ajout apparaît immédiatement dans la liste des principaux sélectionnés.

        Vous pouvez ensuite ajouter des comptes, des unités d'organisation ou votre organisation supplémentaires en répétant cette étape.

      • (Facultatif) Pour supprimer un principal, localisez-le sous Principes principaux sélectionnés, cochez sa case, puis choisissez Désélectionner.

  10. Choisissez Suivant.

  11. À l'étape 4 : révision et mise à jour, passez en revue les détails de configuration de votre partage de ressources.

  12. Pour modifier la configuration d'une étape, choisissez le lien correspondant à l'étape à laquelle vous souhaitez revenir, puis apportez les modifications requises.

    Si des autorisations gérées utilisent toujours des versions autres que la version par défaut, vous pouvez également y remédier en choisissant Mettre à jour vers la version par défaut.

  13. Choisissez Mettre à jour le partage des ressources lorsque les modifications seront terminées.

AWS CLI
Pour mettre à jour un partage des ressources.

Vous pouvez utiliser lesAWS CLI commandes suivantes pour modifier un partage des ressources :

  • Pour renommer un partage de ressources ou pour modifier si les principaux externes sont autorisés, utilisez la commande update-resource-share. L'exemple suivant renomme le partage de ressources spécifié et le définit pour n'autoriser que les principaux membres de son organisation. Vous devez utiliser le point de terminaison du serviceRégion AWS qui contient le partage de ressources. 

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • Pour ajouter une ressource à un partage de ressources, utilisez la commande associate-resource-share. L'exemple suivant ajoute un sous-réseau au partage de ressources spécifié.

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • Pour ajouter ou remplacer une autorisation gérée pour un type de ressource dans un partage de ressources, utilisez les commandes list-permissionset associate-resource-share-permission. Vous ne pouvez attribuer qu'une seule autorisation gérée par type de ressource dans un partage de ressources. Si vous essayez d'ajouter une autorisation gérée à un type de ressource qui possède déjà une autorisation gérée, vous devez inclure l'--replaceoption, sinon la commande échoue et génère une erreur.

    L'exemple de commande suivant répertorie les ARN pour les autorisations gérées disponibles pour un sous-réseau Amazon Elastic Compute Cloud (Amazon EC2), puis utilise l'un de ces ARN pour remplacer l'autorisationAWS gérée actuellement attribuée pour ce type de ressource dans le partage de ressources spécifié. 

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • Pour supprimer une ressource d'un partage de ressources, utilisez la commande disassociate-resource-share. L'exemple suivant supprime le sous-réseau Amazon EC2 avec l'ARN spécifié du partage de ressources spécifié.

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • Pour modifier les balises associées à un partage de ressources, utilisez les commandes tag-resourceet untag-resource. L'exemple suivant ajoute la baliseproject=lima au partage des ressources spécifié.

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    L'exemple suivant supprime la balise avec une clé deproject du partage de ressources spécifié.

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    Les commandes de balise ne produisent aucune sortie lorsqu'elles réussissent.