Memperbarui pangsa sumber dayaAWS RAM - AWS Resource Access Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui pangsa sumber dayaAWS RAM

Anda dapat memperbarui pembagian sumber dayaAWS RAM kapan saja dengan cara berikut:

  • Anda dapat menambahkan prinsipal, sumber daya, atau tag ke pangsa sumber daya yang Anda buat.

  • Untuk jenis sumber daya yang mendukung lebih dari izinAWS terkelola default, Anda dapat memilih izin terkelola mana yang berlaku untuk sumber daya dari setiap jenis.

  • Bila izin terkelola yang dilampirkan ke berbagi sumber daya memiliki versi default baru, Anda dapat memperbarui izin terkelola untuk menggunakan versi baru.

  • Anda dapat mencabut akses ke sumber daya bersama dengan menghapus prinsipal atau sumber daya dari berbagi sumber daya. Jika Anda mencabut akses, prinsipal tidak lagi memiliki akses ke sumber daya bersama.

catatan

Prinsipal dengan siapa Anda berbagi sumber daya dapat meninggalkan pangsa sumber daya Anda jika berbagi kosong atau hanya berisi jenis sumber daya yang mendukung meninggalkan berbagi sumber daya. Jika berbagi sumber daya berisi jenis sumber daya yang tidak mendukung meninggalkan, pesan muncul untuk menginformasikan prinsip-prinsip bahwa mereka harus menghubungi pemilik berbagi. Dalam hal ini, Anda, sebagai pemilik pangsa sumber daya, harus menghapus prinsipal dari pangsa sumber daya Anda. Untuk daftar jenis sumber daya yang tidak mendukung tindakan ini, lihatPrasyarat untuk meninggalkan pembagian sumber daya.

Console
Untuk memperbarui berbagi sumber daya

  1. Arahkan ke halaman Shared by me: Resource shares diAWS RAM konsol.

  2. Karena pembagianAWS RAM sumber daya ada secara spesifikWilayah AWS, pilih yang sesuaiWilayah AWS dari daftar tarik-turun di sudut kanan atas konsol. Untuk melihat pembagian sumber daya yang mengandung sumber daya global, Anda harus mengaturWilayah AWS ke US East (N. Virginia), (us-east-1). Untuk informasi selengkapnya tentang berbagi sumber daya global, lihatBerbagi sumber daya Regional dibandingkan dengan sumber daya global.

  3. Pilih berbagi sumber daya dan kemudian pilih Ubah.

  4. Pada Langkah 1: Tentukan rincian berbagi sumber daya, tinjau rincian berbagi sumber daya, dan jika diperlukan, perbarui salah satu dari berikut ini:

    1. (Opsional) Untuk mengubah nama berbagi sumber daya, edit Nama.

    2. (Opsional) Untuk menambahkan sumber daya ke sumber daya berbagi, di bawah Sumber daya, pilih jenis sumber daya dan kemudian pilih kotak centang di sebelah sumber daya untuk menambahkannya ke berbagi sumber daya. Sumber daya global hanya akan muncul jika Anda mengatur Wilayah ke US East (N. Virginia), () dalam US East (N. Virginiaus-east-1), () dalamAWS Management Console.

    3. (Opsional) Untuk menghapus sumber daya dari berbagi sumber daya, cari sumber daya di bawah Sumber daya yang dipilih, lalu pilih X di samping ID sumber daya.

    4. (Opsional) Untuk menambahkan tanda ke pembagian sumber daya, dalam tanda, masukkan tanda dan nilai dalam kotak teks kosong. Untuk menambahkan lebih dari satu kunci tanda dan pasangan nilai, pilih Tambahkan tanda baru. Anda dapat menambahkan hingga 50 tanda.

    5. Untuk menghapus tag dari pangsa sumber daya, di bawah Tag, cari tag dan pilih Hapus di sebelahnya.

  5. Pilih Selanjutnya.

  6. (Opsional) Pada Langkah 2: Mengaitkan izin terkelola dengan setiap jenis sumber daya, Anda dapat memilih untuk mengaitkan izin terkelola yang dibuatAWS dengan jenis sumber daya, memilih izin terkelola pelanggan yang ada, atau Anda dapat membuat izin terkelola pelanggan sendiri. Untuk informasi selengkapnya, lihat Jenis izin terkelola.

    Anda juga dapat memilih Buat izin terkelola pelanggan untuk membuat izin terkelola pelanggan yang memenuhi persyaratan kasus penggunaan berbagi Anda. Untuk informasi selengkapnya, lihat Membuat izin terkelola pelanggan. Setelah menyelesaikan proses, pilih Refresh icon , lalu Anda dapat memilih izin terkelola pelanggan baru dari daftar tarik-turun Izin terkelola.

    Untuk menampilkan tindakan yang diizinkan oleh izin terkelola, luaskan Lihat templat kebijakan untuk izin terkelola ini.

  7. Jika versi izin terkelola yang saat ini ditetapkan ke sumber daya bukan versi default saat ini, maka Anda dapat memperbarui ke versi default dengan memilih Pembaruan ke versi default.

    catatan

    Sampai Anda menyimpan perubahan Anda ke berbagi sumber daya setelah langkah terakhir, Anda dapat membatalkan pembaruan versi dengan memilih Kembalikan ke versi sebelumnya. Namun, untuk izinAWS terkelola, setelah Anda menyimpan pangsa sumber daya, perubahan bersifat final dan Anda tidak dapat lagi kembali ke versi sebelumnya.

  8. Pilih Selanjutnya.

  9. Pada Langkah 3: Pilih prinsipal yang diizinkan untuk mengakses, meninjau prinsip-prinsip yang dipilih, dan jika diperlukan, perbarui salah satu dari berikut ini:

    1. (Opsional) Untuk mengubah apakah pembagian diaktifkan dengan prinsipal di dalam atau di luar organisasi Anda, pilih salah satu opsi berikut:

      • Untuk berbagi sumber daya denganAkun AWS atau peran IAM individu atau pengguna yang berada di luar organisasi Anda, pilih Izinkan berbagi dengan prinsipal eksternal.

      • Untuk membatasi berbagi sumber daya hanya pada prinsipal di organisasi AndaAWS Organizations, pilih Izinkan berbagi dengan prinsipal di organisasi Anda saja.

    2. Untuk Kepala Sekolah, lakukan hal berikut:

      • (Opsional) Untuk menambahkan organisasi, unit organisasi (OU), atau anggotaAkun AWS di dalam organisasi Anda, aktifkan Tampilkan struktur organisasi untuk menampilkan tampilan pohon organisasi Anda. Kemudian pilih kotak centang di samping setiap pokok yang ingin Anda tambahkan.

        penting

        Ketika Anda berbagi dengan organisasi atau OU, dan ruang lingkup tersebut mencakup akun yang memiliki pangsa sumber daya, semua prinsipal di akun berbagi secara otomatis mendapatkan akses ke sumber daya dalam berbagi. Akses yang diberikan ditentukan oleh izin terkelola yang terkait dengan berbagi. Ini karena kebijakan berbasis sumber daya yangAWS RAM melekat pada setiap sumber daya dalam penggunaan saham"Principal": "*". Untuk informasi selengkapnya, lihat Implikasi penggunaan"Principal": "*"dalam kebijakan berbasis sumber daya.

        Prinsipal di akun konsumsi lainnya tidak segera mendapatkan akses ke sumber daya saham. Administrator akun lain harus terlebih dahulu melampirkan kebijakan izin berbasis identitas ke prinsipal yang sesuai. Kebijakan tersebut harus memberikanAllow akses ke ARN sumber daya individu dalam pangsa sumber daya. Izin dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang terkait dengan berbagi sumber daya.

        catatan

        Toggle struktur organisasi Tampilan hanya muncul jika berbagi denganAWS Organizations diaktifkan dan Anda masuk sebagai kepala sekolah di akun manajemen organisasi.

        Anda tidak dapat menggunakan metode ini untuk menentukanAkun AWS di luar organisasi Anda, atau peran IAM atau pengguna. Sebagai gantinya, Anda harus menambahkan prinsipal ini dengan memasukkan pengenal mereka, yang ditampilkan di kotak teks di bawah sakelar struktur organisasi Tampilan. Lihat bullet.

      • (Opsional) Untuk menambahkan prinsipal dengan pengenalnya, pilih jenis pokok dari daftar dropdown, lalu masukkan ID atau ARN untuk prinsipal. Terakhir, pilih Tambah.

        Jika Anda memilih individuAkun AWS, maka hanya akun itu yang dapat mengakses pangsa sumber daya. Anda dapat memilih salah satu opsi berikut.

        • LainAkun AWS (selain pemilik sumber daya) - Membuat sumber daya tersedia untuk akun lain. Administrator akun tersebut harus menyelesaikan proses dengan memberikan akses ke sumber daya bersama menggunakan kebijakan izin berbasis identitas untuk peran individu dan pengguna. Izin tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang dilampirkan pada pangsa sumber daya.

        • IniAkun AWS (pemilik sumber daya) — Semua peran dan pengguna di akun pemilik sumber daya secara otomatis menerima akses yang ditentukan oleh izin terkelola yang dilampirkan ke pangsa sumber daya.

      • Penambahan segera muncul di daftar prinsip-prinsip yang dipilih.

        Anda kemudian dapat menambahkan akun tambahan, OU, atau organisasi Anda dengan mengulangi langkah ini.

      • (Opsional) Untuk menghapus kepala sekolah, cari di bawah Prinsipal yang dipilih, centang kotak, lalu pilih Batalkan pilihan.

  10. Pilih Selanjutnya.

  11. Pada Langkah 4: Tinjau dan perbarui, tinjau detail konfigurasi untuk berbagi sumber daya Anda.

  12. Untuk mengubah konfigurasi untuk langkah apa pun, pilih tautan yang sesuai dengan langkah yang ingin Anda kembalikan, lalu buat perubahan yang diperlukan.

    Jika ada izin terkelola yang masih menggunakan versi selain default, Anda memiliki kesempatan lain untuk mengatasinya dengan memilih Perbarui ke versi default.

  13. Pilih Perbarui berbagi sumber daya setelah Anda selesai membuat perubahan.

AWS CLI
Untuk memperbarui berbagi sumber daya

Anda dapat menggunakanAWS CLI perintah berikut untuk memodifikasi pembagian sumber daya:

  • Untuk mengganti nama pangsa sumber daya, atau mengubah apakah prinsipal eksternal diizinkan, gunakan perintah update-resource-share. Contoh berikut mengganti nama share sumber daya yang ditentukan dan menetapkan untuk memungkinkan hanya prinsipal dari organisasinya. Anda harus menggunakan endpoint layanan untukWilayah AWS yang berisi berbagi sumber daya. 

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • Untuk menambahkan sumber daya ke berbagi sumber daya, gunakan perintah associate-resource-share. Contoh berikut menambahkan subnet ke share sumber daya yang ditentukan.

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • Untuk menambah atau mengganti izin terkelola untuk jenis sumber daya dalam berbagi sumber daya, gunakan perintah list-permissionsdan associate-resource-share-permission. Anda hanya dapat menetapkan satu izin terkelola per jenis sumber daya dalam pembagian sumber daya. Jika Anda mencoba menambahkan izin terkelola ke jenis sumber daya yang sudah memiliki izin terkelola, Anda harus menyertakan--replace opsi atau perintah gagal dengan kesalahan.

    Contoh perintah berikut mencantumkan ARN untuk izin terkelola yang tersedia untuk subnet Amazon Elastic Compute Cloud (Amazon EC2), dan kemudian menggunakan salah satu ARN tersebut untuk menggantikan izinAWS terkelola yang saat ini ditetapkan untuk jenis sumber daya tersebut dalam berbagi sumber daya yang ditentukan. 

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • Untuk menghapus sumber daya dari berbagi sumber daya, gunakan perintah disassociate-resource-share. Contoh berikut menghapus subnet Amazon EC2 dengan ARN yang ditentukan dari pangsa sumber daya yang ditentukan.

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • Untuk memodifikasi tag yang dilampirkan ke berbagi sumber daya, gunakan perintah tag-resourcedan untag-resource. Contoh berikut menambahkan tagproject=lima ke share sumber daya yang ditentukan.

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    Contoh berikut menghapus tag dengan kunciproject dari share sumber daya yang ditentukan.

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    Perintah tanda tidak akan menghasilkan keluaran saat berhasil.