Creazione di una condivisione di risorse in AWS RAM - AWS Resource Access Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una condivisione di risorse in AWS RAM

Per condividere risorse di tua proprietà, crea una condivisione di risorse. Ecco una panoramica del processo:

  1. Aggiungi le risorse che desideri condividere.

  2. Per ogni tipo di risorsa che includi nella condivisione, specifica l'autorizzazione gestita da utilizzare per quel tipo di risorsa.

    • Puoi scegliere tra una delle autorizzazioni AWS gestite disponibili, un'autorizzazione gestita dal cliente esistente o creare una nuova autorizzazione gestita dal cliente.

    • AWSle autorizzazioni gestite vengono create AWS per coprire casi d'uso standard.

    • Le autorizzazioni gestite dai clienti ti consentono di personalizzare le tue autorizzazioni gestite per soddisfare le tue esigenze di sicurezza e aziendali.

    Nota

    Se l'autorizzazione gestita selezionata ha più versioni, allega AWS RAM automaticamente la versione predefinita. È possibile allegare solo la versione designata come predefinita.

  3. Specificate i principali ai quali desiderate che abbiano accesso alle risorse.

Considerazioni

  • Se in un secondo momento devi eliminare una AWS risorsa inclusa in una condivisione, ti consigliamo di rimuovere prima la risorsa da qualsiasi condivisione di risorse che la include oppure di eliminare la condivisione di risorse.

  • I tipi di risorse che puoi includere in una condivisione di risorse sono elencati inRisorse condivisibili AWS.

  • Puoi condividere una risorsa solo se la possiedi. Non puoi condividere una risorsa condivisa con te.

  • AWS RAMè un servizio regionale. Quando condividi una risorsa con i responsabili di altriAccount AWS, tali principali devono accedere a ciascuna risorsa dalla stessa in Regione AWS cui è stata creata. Per le risorse globali supportate, puoi accedere a tali risorse da qualsiasi Regione AWS risorsa supportata dalla console di servizio e dagli strumenti di quella risorsa. È possibile visualizzare tali condivisioni di risorse e le relative risorse globali nella AWS RAM console e negli strumenti solo nella regione di origine designata, Stati Uniti orientali (Virginia settentrionale),us-east-1. Per ulteriori informazioni AWS RAM e risorse globali, vedereCondivisione delle risorse regionali rispetto alle risorse globali.

  • Se l'account da cui condividi fa parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, a tutti i responsabili dell'organizzazione con cui condividi viene automaticamente concesso l'accesso alle condivisioni di risorse senza l'uso di inviti. Un responsabile di un account con cui condividi qualcosa al di fuori del contesto di un'organizzazione riceve un invito a partecipare alla condivisione di risorse e gli viene concesso l'accesso alle risorse condivise solo dopo aver accettato l'invito.

  • Se condividi con un responsabile del servizio, non puoi associare nessun altro responsabile alla condivisione delle risorse.

  • Se la condivisione avviene tra account o responsabili che fanno parte di un'organizzazione, qualsiasi modifica all'appartenenza all'organizzazione influirà dinamicamente sull'accesso alla condivisione delle risorse.

    • Se ne aggiungi un'altra Account AWS all'organizzazione o a un'unità organizzativa che ha accesso a una condivisione di risorse, il nuovo account membro ottiene automaticamente l'accesso alla condivisione di risorse. L'amministratore dell'account con cui hai condiviso l'account può quindi concedere ai singoli responsabili di quell'account l'accesso alle risorse di quella condivisione.

    • Se rimuovi un account dall'organizzazione o da un'unità organizzativa che ha accesso a una condivisione di risorse, tutti i responsabili di quell'account perderanno automaticamente l'accesso alle risorse a cui si accedeva tramite quella condivisione di risorse.

    • Se hai condiviso direttamente con un account membro o con ruoli o utenti IAM nell'account membro e poi rimuovi tale account dall'organizzazione, tutti i responsabili di quell'account perderanno l'accesso alle risorse a cui accedeva tramite quella condivisione di risorse.

    Importante

    Quando condividi con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Ciò è dovuto al fatto che AWS RAM la politica basata sulle risorse associata a ciascuna risorsa della condivisione utilizza. "Principal": "*" Per ulteriori informazioni, consulta Implicazioni dell'uso"Principal": "*"in politica basata sulle risorse.

    I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono concedere Allow l'accesso agli ARN delle singole risorse nella condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.

  • Puoi aggiungere solo l'organizzazione di cui è membro l'account e le unità organizzative di tale organizzazione alle tue condivisioni di risorse. Non è possibile aggiungere unità organizzative o organizzazioni esterne alla propria organizzazione a una condivisione di risorse come responsabili. Tuttavia, è possibile aggiungere ruoli e utenti IAM individuali Account AWS o, per i servizi supportati, esterni all'organizzazione come responsabili a una condivisione di risorse.

    Nota

    Non tutti i tipi di risorse possono essere condivisi con ruoli e utenti IAM. Per informazioni sulle risorse che puoi condividere con questi responsabili, consulta. Risorse condivisibili AWS

  • Per i seguenti tipi di risorse hai sette giorni di tempo per accettare l'invito a partecipare alla condivisione per i seguenti tipi di risorse. Se non accetti l'invito prima della scadenza, l'invito viene automaticamente rifiutato.

    Importante

    Per i tipi di risorse condivise non presenti nell'elenco seguente, hai 12 ore per accettare l'invito a partecipare alla condivisione di risorse. Dopo 12 ore, l'invito scade e l'utente principale incluso nella condivisione delle risorse viene dissociato. L'invito non può più essere accettato dagli utenti finali.

    • Amazon Aurora — cluster DB

    • Amazon EC2: prenotazioni di capacità e host dedicati

    • AWS License Manager— Configurazioni delle licenze

    • AWS Outposts— Tabelle di routing, avamposti e siti dei gateway locali

    • Amazon Route 53 — Regole di inoltro

    • Amazon VPC: indirizzi IPv4 di proprietà del cliente, elenchi di prefissi, sottoreti, target Traffic Mirror, gateway di transito, domini multicast con gateway di transito

Console
Per creare una condivisione di risorse

  1. Aprire la console AWS RAM.

  2. Poiché le condivisioni di AWS RAM risorse esistono in modo specificoRegioni AWS, scegli quella appropriata Regione AWS dall'elenco a discesa nell'angolo in alto a destra della console. Per visualizzare le condivisioni di risorse che contengono risorse globali, è necessario impostarle su Stati Uniti orientali (Virginia settentrionale), (). Regione AWS us-east-1 Per ulteriori informazioni sulla condivisione di risorse globali, consultaCondivisione delle risorse regionali rispetto alle risorse globali. Se desideri includere risorse globali nella condivisione delle risorse, devi scegliere la regione di origine designata, Stati Uniti orientali (Virginia settentrionale),us-east-1.

  3. Se sei nuovoAWS RAM, scegli Crea una condivisione di risorse dalla home page. Altrimenti, scegli Crea condivisione di risorse dalla pagina Condivisi da me: Condivisioni di risorse.

  4. Nel Passaggio 1: Specificate i dettagli della condivisione delle risorse, effettuate le seguenti operazioni:

    1. In Nome, inserisci un nome descrittivo per la condivisione di risorse.

    2. In Risorse, scegli le risorse da aggiungere alla condivisione di risorse come segue:

      • Per Seleziona il tipo di risorsa, scegli il tipo di risorsa da condividere. In questo modo l'elenco delle risorse condivisibili viene filtrato solo in base alle risorse del tipo selezionato.

      • Nell'elenco di risorse risultante, seleziona le caselle di controllo accanto alle singole risorse che desideri condividere. Le risorse selezionate vengono spostate in Risorse selezionate.

        Se condividi risorse associate a una zona di disponibilità specifica, l'utilizzo dell'ID della zona di disponibilità (ID AZ) ti aiuta a determinare la posizione relativa di queste risorse tra gli account. Per ulteriori informazioni, consulta ID delle zone di disponibilità perAWS le tue risorse.

    3. (Facoltativo) Per allegare tag alla condivisione di risorse, in Tag, inserisci una chiave e un valore per il tag. Aggiungine altri selezionando Aggiungi nuovo tag. Ripeti questo passaggio se necessario. Questi tag si applicano solo alla condivisione di risorse stessa, non alle risorse incluse nella condivisione di risorse.

  5. Seleziona Successivo.

  6. Nel Passaggio 2: Associa un'autorizzazione gestita a ciascun tipo di risorsa, puoi scegliere di associare un'autorizzazione gestita creata da AWS al tipo di risorsa, scegliere un'autorizzazione gestita dal cliente esistente oppure creare un'autorizzazione gestita dal cliente personalizzata per i tipi di risorse supportati. Per ulteriori informazioni, consulta Tipi di autorizzazioni gestite.

    Scegli Crea autorizzazione gestita dal cliente per creare un'autorizzazione gestita dal cliente che soddisfi i requisiti del tuo caso d'uso della condivisione. Per ulteriori informazioni, consulta Creazione di un'autorizzazione gestita dal cliente. Dopo aver completato il processo, scegli Refresh icon e poi puoi selezionare la tua nuova autorizzazione gestita dal cliente dall'elenco a discesa Autorizzazioni gestite.

    Nota

    Se l'autorizzazione gestita selezionata ha più versioni, allega AWS RAM automaticamente la versione predefinita. È possibile allegare solo la versione designata come predefinita.

    Per visualizzare le azioni consentite dall'autorizzazione gestita, espandi Visualizza il modello di policy per questa autorizzazione gestita.

  7. Seleziona Successivo.

  8. Nel passaggio 3: concedere l'accesso ai principali, procedi come segue:

    1. Per impostazione predefinita, è selezionata l'opzione Consenti la condivisione con chiunque, il che significa che, per i tipi di risorse Account AWS che la supportano, puoi condividere risorse con persone esterne all'organizzazione. Ciò non influisce sui tipi di risorse che possono essere condivise solo all'interno di un'organizzazione, come le sottoreti Amazon VPC. Puoi anche condividere alcuni tipi di risorse supportati con ruoli e utenti IAM.

      Per limitare la condivisione delle risorse solo agli account e ai responsabili della tua organizzazione, scegli Consenti la condivisione solo all'interno dell'organizzazione.

    2. Per i Responsabili, procedi come segue:

      • Per aggiungere l'organizzazione, un'unità organizzativa (OU) o una persona Account AWS che fa parte di un'organizzazione, attiva Mostra la struttura organizzativa. Viene visualizzata una visualizzazione ad albero dell'organizzazione. Quindi, seleziona la casella di controllo accanto a ogni principale che desideri aggiungere.

        Importante

        Quando condividi con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Ciò è dovuto al fatto che AWS RAM la politica basata sulle risorse associata a ciascuna risorsa della condivisione utilizza. "Principal": "*" Per ulteriori informazioni, consulta Implicazioni dell'uso"Principal": "*"in politica basata sulle risorse.

        I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono concedere Allow l'accesso agli ARN delle singole risorse nella condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.

        • Se si seleziona l'organizzazione (l'ID inizia cono-), tutti Account AWS i responsabili dell'organizzazione possono accedere alla condivisione delle risorse.

        • Se si seleziona un'unità organizzativa (l'ID inizia conou-), tutti gli Account AWS amministratori dell'unità organizzativa e delle relative unità organizzative figlie possono accedere alla condivisione delle risorse.

        • Se si seleziona una personaAccount AWS, solo i responsabili di quell'account possono accedere alla condivisione delle risorse.

        Nota

        L'interruttore Visualizza la struttura organizzativa viene visualizzato solo se la condivisione con AWS Organizations è abilitata e hai effettuato l'accesso all'account di gestione dell'organizzazione.

        Non puoi utilizzare questo metodo per specificare un ruolo o un utente Account AWS esterno all'organizzazione o un ruolo o utente IAM. È invece necessario disattivare Visualizza la struttura organizzativa e utilizzare l'elenco a discesa e la casella di testo per inserire l'ID o l'ARN.

      • Per specificare un principale tramite ID o ARN, inclusi i principali esterni all'organizzazione, selezionare il tipo principale per ogni principale. Quindi, inserisci l'ID (per un'Account AWSorganizzazione o un'unità organizzativa) o l'ARN (per un ruolo o un utente IAM), quindi scegli Aggiungi. I tipi principali e i formati ID e ARN disponibili sono i seguenti:

        • Account AWS— Per aggiungere unAccount AWS, inserisci l'ID dell'account a 12 cifre. Ad esempio:

          123456789012

        • Organizzazione: per aggiungere tutti i membri Account AWS della tua organizzazione, inserisci l'ID dell'organizzazione. Ad esempio:

          o-abcd1234

        • Unità organizzativa (OU): per aggiungere un'unità organizzativa, inserisci l'ID dell'unità organizzativa. Ad esempio:

          ou-abcd-1234efgh

        • Ruolo IAM: per aggiungere un ruolo IAM, inserisci l'ARN del ruolo. Utilizzare la seguente sintassi:

          arn:partition:iam::account:role/role-name

          Ad esempio:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          Nota

          Per ottenere l'ARN univoco per un ruolo IAM, visualizza l'elenco dei ruoli nella console IAM, usa il AWS CLI comando get-role o l'azione API. GetRole

        • Utente IAM: per aggiungere un utente IAM, inserisci l'ARN dell'utente. Utilizzare la seguente sintassi:

          arn:partition:iam::account:user/user-name

          Ad esempio:

          arn:aws:iam::123456789012:user/bob

          Nota

          Per ottenere l'ARN univoco per un utente IAM, visualizza l'elenco degli utenti nella console IAM, utilizza il get-userAWS CLIcomando o l'azione GetUserAPI.

      • Responsabile del servizio: per aggiungere un responsabile del servizio, scegli Responsabile del servizio dal dropbox Seleziona il tipo principale. Inserisci il nome del responsabile del AWS servizio. Utilizzare la seguente sintassi:

        • service-id.amazonaws.com

          Ad esempio:

          pca-connector-ad.amazonaws.com

    3. Per Principi selezionati, verifica che i principali specificati compaiano nell'elenco.

  9. Seleziona Successivo.

  10. Nel Passaggio 4: Revisione e creazione, rivedi i dettagli di configurazione per la condivisione delle risorse. Per modificare la configurazione per qualsiasi passaggio, scegli il link corrispondente al passaggio a cui desideri tornare e apporta le modifiche richieste.

  11. Dopo aver esaminato la condivisione di risorse, scegli Crea condivisione di risorse.

    Il completamento dell'associazione tra la risorsa e il principale può richiedere alcuni minuti. Attendi il completamento di questo processo prima di provare a utilizzare la condivisione di risorse.

  12. Puoi aggiungere e rimuovere risorse e principali o applicare tag personalizzati alla tua condivisione di risorse in qualsiasi momento. È possibile modificare l'autorizzazione gestita per i tipi di risorse inclusi nella condivisione delle risorse, per quei tipi che supportano più autorizzazioni gestite rispetto all'autorizzazione gestita predefinita. È possibile eliminare la condivisione di risorse quando non si desidera più condividere le risorse. Per ulteriori informazioni, consulta CondividiAWS le risorse di tua proprietà.

AWS CLI
Per creare una condivisione di risorse

Utilizza il comando create-resource-share. Il comando seguente crea una condivisione di risorse condivisa con tutti i Account AWS membri dell'organizzazione. La condivisione contiene una configurazione di AWS License Manager licenza e concede le autorizzazioni gestite predefinite per quel tipo di risorsa.

Nota

Se desideri utilizzare un'autorizzazione gestita dal cliente con un tipo di risorsa in questa condivisione di risorse, puoi utilizzare un'autorizzazione gestita dal cliente esistente o crearne una nuova. Prendi nota dell'ARN per l'autorizzazione gestita dal cliente, quindi crea la condivisione di risorse. Per ulteriori informazioni, consulta Creazione di un'autorizzazione gestita dal cliente.

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}