As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Compartilhar seus AWS recursos
Para começar a compartilhar um recurso que você possui usando o AWS RAM, faça o seguinte:
Observações
-
Compartilhar um recurso com entidades principais fora dos Conta da AWS proprietários do recurso não altera as permissões ou as cotas que se aplicam ao recurso na conta que o criou.
-
AWS RAM é um serviço regional. As entidades principais com as quais você compartilha podem acessar compartilhamentos de recursos somente no Regiões da AWS local em que foram criados.
-
Alguns recursos têm considerações e pré-requisitos especiais para compartilhamento. Para obter mais informações, consulte Recursos compartilháveis AWS.
Habilitar o compartilhamento de recursos no AWS Organizations
Quando sua conta é gerenciada por AWS Organizations, você pode aproveitar isso para compartilhar recursos com mais facilidade. Com ou sem Organizações, um usuário pode compartilhar com contas individuais. No entanto, se sua conta estiver em uma organização, você poderá compartilhar com contas individuais ou com todas as contas da organização ou em uma OU sem precisar enumerar cada conta.
Para compartilhar recursos dentro de uma organização, você deve primeiro usar o AWS RAM console ou AWS Command Line Interface (AWS CLI) para habilitar o compartilhamento com AWS Organizations. Quando você compartilha recursos na organização, o AWS RAM não envia convites às entidades principais. As entidades principais da organização obtêm acesso a recursos compartilhados sem trocar convites.
Quando você ativa o compartilhamento de recursos em sua organização, AWS RAM cria uma função vinculada ao serviço chamada AWSServiceRoleForResourceAccessManager
. Essa função pode ser assumida somente pelo AWS RAM serviço e concede AWS RAM permissão para recuperar informações sobre a organização da qual é membro, usando a AWS política gerenciada AWSResourceAccessManagerServiceRolePolicy
.
Se não precisar mais compartilhar recursos com toda a organização ou com OUs, você pode desabilitar o compartilhamento de recursos. Para obter mais informações, consulte Desativando o compartilhamento de recursos com AWS Organizations.
Permissões mínimas
Para executar os procedimentos abaixo, você deve fazer login como entidade principal na conta de gerenciamento da organização que tem as seguintes permissões:
-
ram:EnableSharingWithAwsOrganization
-
iam:CreateServiceLinkedRole
-
organizations:enableAWSServiceAccess
-
organizations:DescribeOrganization
Requisitos
-
Você pode executar essas etapas somente enquanto estiver conectado como entidade principal na conta de gerenciamento da organização.
-
A organização deve ter todos os atributos habilitados. Para obter mais informações, consulte Habilitar todos os recursos na sua organização no AWS Organizations Manual do usuário.
Importante
Você deve habilitar o compartilhamento AWS Organizations usando o AWS RAM console ou o comando enable-sharing-with-aws-organization AWS CLI. Isso garante que a função vinculada ao serviço AWSServiceRoleForResourceAccessManager
seja criada. Se você habilitar o acesso confiável AWS Organizations usando o AWS Organizations console ou o AWS CLI comando enable-aws-service-access , a função AWSServiceRoleForResourceAccessManager
vinculada a serviços não foi criada e você não pode compartilhar recursos dentro de sua organização.
Criar o compartilhamento de um recurso
Para compartilhar recursos de sua propriedade, crie um compartilhamento de recursos. Aqui está uma visão geral do processo:
-
Adicione os recursos que você deseja compartilhar.
-
Para cada tipo de recurso que você incluir no compartilhamento, especifique a permissão gerenciada a ser usada para esse tipo de recurso.
-
Você pode escolher entre uma das AWS permissões gerenciadas disponíveis, uma permissão gerenciada pelo cliente existente ou criar uma nova permissão gerenciada pelo cliente.
-
AWS as permissões gerenciadas são criadas por AWS para cobrir casos de uso padrão.
-
As permissões gerenciadas pelo cliente permitem que você personalize suas próprias permissões gerenciadas para atender às suas necessidades comerciais e de segurança.
nota
Se a permissão gerenciada selecionada tiver várias versões, AWS RAM anexará automaticamente a versão padrão. Você pode anexar somente a versão designada como padrão.
-
-
Especifique as entidades principais aos quais você deseja que tenham acesso aos recursos.
Considerações
-
Se você precisar excluir posteriormente um AWS recurso incluído em um compartilhamento, recomendamos que primeiro remova o recurso de qualquer compartilhamento de recursos que o inclua ou exclua o compartilhamento de recursos.
-
Os tipos de recursos que você pode incluir em um compartilhamento de recursos estão listados em Recursos compartilháveis AWS.
-
Você só poderá compartilhar um recurso se for o proprietário dele. Não é possível compartilhar um recurso compartilhado com você.
-
AWS RAM é um serviço regional. Quando você compartilha um recurso com entidades principais em outros Contas da AWS, essas entidades principais devem acessar cada recurso do mesmo em Região da AWS que foi criado. Para recursos globais compatíveis, você pode acessar esses recursos de qualquer um Região da AWS que seja compatível com o console de serviço e as ferramentas desse recurso. Você pode visualizar esses compartilhamentos de recursos e seus recursos globais no AWS RAM console e nas ferramentas somente na região de origem designada, Leste dos EUA (Norte da Virgínia)
us-east-1
. Para obter mais informações sobre AWS RAM e recursos globais, consulte Compartilhamento de recursos regionais em comparação com recursos globais. -
Se a conta a partir da qual você está compartilhando fizer parte de uma organização AWS Organizations e o compartilhamento estiver habilitado na organização, todas as entidades principais da organização com a qual você compartilhar os recursos receberão acesso automaticamente aos compartilhamentos de recursos sem o uso de convites. Uma entidade principal de uma conta com a qual você compartilha recursos fora do contexto de uma organização recebe um convite para ingressar no compartilhamento de recursos e acesso aos recursos compartilhados somente após aceitar o convite.
Se você compartilhar com uma entidade principal de serviço, não poderá associar nenhuma outra entidade principal ao compartilhamento de recursos.
-
Se o compartilhamento for entre contas ou entidades principais que fazem parte de uma organização, qualquer alteração na associação à organização afetará dinamicamente o acesso ao compartilhamento de recursos.
-
Se você adicionar um Conta da AWS à organização ou a uma OU que tenha acesso a um compartilhamento de recursos, essa nova conta de membro automaticamente terá acesso ao compartilhamento de recursos. O administrador da conta com a qual você compartilhou pode então conceder às entidades principais individuais dessa conta acesso aos recursos desse compartilhamento.
-
Se você remover uma conta da organização ou de uma OU que tenha acesso a um compartilhamento de recursos, todas as entidades principais dessa conta perderão automaticamente o acesso aos recursos que foram acessados por meio desse compartilhamento de recursos.
-
Se você compartilhou diretamente com uma conta membro ou com funções do IAM ou usuários na conta membro e depois remover essa conta da organização, todas as entidades principais dessa conta perderão o acesso aos recursos que foram acessados por meio desse compartilhamento de recursos.
Importante
Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades principais na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos AWS RAM anexada a cada recurso no compartilhamento usa
"Principal": "*"
. Para obter mais informações, consulte Implicações do uso da "Principal": "*" em uma política baseada em recursos.As entidades principais das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades principais apropriadas. Essas políticas devem conceder
Allow
acesso aos ARNs de recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos. -
-
Você pode adicionar somente a organização da qual sua conta é membro e OUs dessa organização aos seus compartilhamentos de recursos. Você não pode adicionar OUs ou organizações de fora da sua própria organização a um compartilhamento de recursos como entidades principais. No entanto, você pode adicionar funções individuais Contas da AWS ou, para serviços compatíveis, usuários e funções do IAM de fora da sua organização como entidades principais de um compartilhamento de recursos.
nota
Nem todos os tipos de recursos podem ser compartilhados com perfis e usuários do IAM. Para obter informações sobre os recursos que você pode compartilhar com essas entidades principais, consulte Recursos compartilháveis AWS.
Para os seguintes tipos de recursos, você tem sete dias para aceitar o convite para participar do compartilhamento para os seguintes tipos de recursos. Se você não aceitar o convite antes que ele expire, ele será automaticamente recusado.
Importante
Para tipos de recursos compartilhados que não estão na lista a seguir, você tem 12 horas para aceitar o convite para participar do compartilhamento de recursos. Depois de 12 horas, o convite expira e o usuário final de entidade principal no compartilhamento de recursos é desassociado. O convite não pode mais ser aceito pelos usuários finais.
-
Clusters de banco de dados do Amazon Aurora
-
Amazon EC2 — reservas de capacidade e hosts dedicados
-
AWS License Manager - Configurações de licença
-
AWS Outposts - Tabelas de rotas de gateway local, postos avançados e sites
-
Amazon Route 53 — Regras de encaminhamento
-
Amazon VPC — endereços IPv4 de propriedade do cliente, listas de prefixos, sub-redes, alvos de espelhamento de tráfego, gateways de trânsito, domínios multicast de gateway de trânsito
-