Compartilhar seus recursos da AWS - AWS Resource Access Manager
Habilitar o compartilhamento de recursos no AWS OrganizationsCriar o compartilhamento de um recurso

Compartilhar seus recursos da AWS

Para começar a compartilhar um recurso que você possui usando o AWS RAM, faça o seguinte:

Observações

  • Compartilhar um recurso com entidades principais fora daConta da AWS que tem o recurso não altera as permissões ou as cotas que se aplicam ao recurso na conta que o criou.

  • O AWS RAM é um serviço regional. As entidades principais com as quais você compartilha podem acessar os compartilhamentos de recursos somente nas Regiões da AWS em que foram criadas.

  • Alguns recursos têm considerações e pré-requisitos especiais para compartilhamento. Para obter mais informações, consulte Recursos da AWS que podem ser compartilhados.

Habilitar o compartilhamento de recursos no AWS Organizations

Quando sua conta é gerenciada pelo AWS Organizations, você pode aproveitar isso para compartilhar recursos com mais facilidade. Com ou sem Organizações, um usuário pode compartilhar com contas individuais. No entanto, se a sua conta estiver em uma organização, você poderá compartilhar com contas individuais ou com todas as contas na organização ou em uma UO sem precisar enumerar cada conta.

Para compartilhar recursos dentro de uma organização, você deve primeiro usar o console do AWS RAM ou a AWS Command Line Interface (AWS CLI) para habilitar o compartilhamento com AWS Organizations. Quando você compartilha recursos na organização, o AWS RAM não envia convites às entidades principais. As entidades principais da organização obtêm acesso a recursos compartilhados sem trocar convites.

Quando você ativa o compartilhamento de recursos em sua organização, o AWS RAM cria uma função vinculada ao serviço chamada AWSServiceRoleForResourceAccessManager. Essa função pode ser assumida somente pelo AWS RAM serviço e concede permissão ao AWS RAM para recuperar informações sobre a organização da qual é membro, usando a política gerenciada da AWS AWSResourceAccessManagerServiceRolePolicy.

nota

Quando o compartilhamento com o AWS Organizations está ativado, qualquer compartilhamento de recursos dentro da organização é restrito aos consumidores dentro da mesma organização. Isso significa que, se o consumidor deixar a organização, ele perderá o acesso aos recursos no compartilhamento. Isso acontece quando o recurso é compartilhado com uma OU, com toda a organização ou com uma conta individual na organização.

Se não precisar mais compartilhar recursos com toda a organização ou com OUs, você pode desabilitar o compartilhamento de recursos. Para obter mais informações, consulte Desativando o compartilhamento de recursos com o AWS Organizations.

Permissões mínimas

Para executar os procedimentos abaixo, você deve fazer login como entidade principal na conta de gerenciamento da organização que tem as seguintes permissões:

  • ram:EnableSharingWithAwsOrganization

  • iam:CreateServiceLinkedRole

  • organizations:enableAWSServiceAccess

  • organizations:DescribeOrganization

Requisitos

  • Você pode executar essas etapas somente quando tiver feito login como entidade principal na conta de gerenciamento da organização.

  • A organização deve ter todos os atributos habilitados. Para obter mais informações, consulte Habilitar todos os recursos na sua organização no Guia do usuário do AWS Organizations.

Importante

Você deve habilitar o compartilhamento com o AWS Organizations usando o console do AWS RAM ou o comando enable-sharing-with-aws-organization da AWS CLI. Isso garante que a função vinculada ao serviço AWSServiceRoleForResourceAccessManager seja criada. Se você habilitar o acesso confiável com o AWS Organizations usando o console da AWS Organizations ou o comando enable-aws-service-access da AWS CLI, a função vinculada a serviços AWSServiceRoleForResourceAccessManager não foi criada, e você não pode compartilhar recursos dentro de sua organização.

Console
Para ativar o compartilhamento de recursos em sua organização

  1. Abra a página Configurações no console do AWS RAM.

  2. Escolha Habilitar compartilhamento com AWS Organizations e, em seguida, escolha Salvar configurações.

AWS CLI
Para ativar o compartilhamento de recursos em sua organização

Use o comando enable-sharing-with-aws-organization.

Esse comando pode ser usado em qualquer Região da AWS e permite o compartilhamento com o AWS Organizations em todas as regiões que oferecem suporte ao AWS RAM.

$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}

Criar o compartilhamento de um recurso

Para compartilhar recursos de sua propriedade, crie um compartilhamento de recursos. Aqui está uma visão geral do processo:

  1. Adicione os recursos que você deseja compartilhar.

  2. Para cada tipo de recurso que você incluir no compartilhamento, especifique a permissão gerenciada a ser usada para esse tipo de recurso.

    • Você pode escolher entre uma das permissões gerenciadas da AWS disponíveis, uma permissão gerenciada pelo cliente existente ou criar uma nova permissão gerenciada pelo cliente.

    • As permissões gerenciadas da AWS são criadas pela AWS para abranger casos de uso padrão.

    • As permissões gerenciadas pelo cliente permitem que você personalize suas próprias permissões gerenciadas para atender às suas necessidades comerciais e de segurança.

    nota

    Se a permissão gerenciada selecionada tiver várias versões, o AWS RAM anexará automaticamente a versão padrão. Você pode anexar somente a versão designada como padrão.

  3. Especifique as entidades principais que você deseja que tenham acesso aos recursos.

Considerações

  • Se você precisar excluir posteriormente um recurso da AWS incluído em um compartilhamento, recomendamos que primeiro remova o recurso de qualquer compartilhamento de recursos que o inclua ou exclua o compartilhamento de recursos.

  • Os tipos de recursos que você pode incluir em um compartilhamento de recursos estão listados em Recursos da AWS que podem ser compartilhados.

  • Você só poderá compartilhar um recurso se for o proprietário dele. Não é possível compartilhar um recurso compartilhado com você.

  • O AWS RAM é um serviço regional. Quando você compartilha um recurso com entidades principais em outras Contas da AWS, essas entidades principais devem acessar cada recurso da mesma Região da AWS em que foi criado. Para recursos globais compatíveis, você pode acessar esses recursos de qualquer Região da AWS que seja compatível com o console de serviço e as ferramentas desse recurso. Você pode visualizar esses compartilhamentos de recursos e seus recursos globais no console do AWS RAM e nas ferramentas somente na região de origem designada, Leste dos EUA (Norte da Virgínia), us-east-1. Para obter mais informações sobre o AWS RAM e recursos globais, consulte Compartilhamento de recursos regionais em comparação com recursos globais.

  • Se a conta da qual você estiver compartilhando fizer parte de uma organização no AWS Organizations e o compartilhamento estiver habilitado na organização, todas as entidades principais da organização com a qual você compartilhar os recursos receberão acesso automaticamente aos compartilhamentos de recursos sem o uso de convites. Uma entidade principal em uma conta com a qual você compartilha fora do contexto de uma organização recebe um convite para ingressar no compartilhamento de recursos e acesso aos recursos compartilhados somente após aceitar o convite.

  • Se você compartilhar com uma entidade principal de serviço, não poderá associar nenhuma outra entidade principal ao compartilhamento de recursos.

  • Se o compartilhamento for entre contas ou entidades principais que fazem parte de uma organização, qualquer alteração na associação à organização afetará dinamicamente o acesso ao compartilhamento de recursos.

    • Se você adicionar uma Conta da AWS à organização ou a uma OU que tenha acesso a um compartilhamento de recursos, essa nova conta de membro automaticamente terá acesso ao compartilhamento de recursos. O administrador da conta com a qual você compartilhou pode então conceder às entidades principais individuais dessa conta acesso aos recursos desse compartilhamento.

    • Se você remover uma conta da organização ou de uma OU que tenha acesso a um compartilhamento de recursos, todas as entidades principais dessa conta perderão automaticamente o acesso aos recursos que foram acessados por meio desse compartilhamento de recursos.

    • Se você compartilhou diretamente com uma conta membro ou com perfis do IAM ou usuários na conta membro e depois remover essa conta da organização, todas as entidades principais dessa conta perderão o acesso aos recursos que foram acessados por meio desse compartilhamento de recursos.

    Importante

    Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades principais na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos que o AWS RAM anexa a cada recurso no compartilhamento usa "Principal": "*". Para obter mais informações, consulte Implicações do uso de "Principal": "*" em uma política baseada em recursos.

    As entidades principais das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades principais apropriadas. Essas políticas devem conceder acesso Allow aos ARNs de recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos.

  • Você pode adicionar somente a organização da qual sua conta é membro e OUs dessa organização aos seus compartilhamentos de recursos. Você não pode adicionar OUs ou organizações de fora da sua própria organização a um compartilhamento de recursos como entidades principais. No entanto, você pode adicionar Contas da AWS individuais ou, no caso de serviços compatíveis, usuários e perfis do IAM de fora da sua organização como entidades de um compartilhamento de recursos.

    nota

    Nem todos os tipos de recursos podem ser compartilhados com perfis e usuários do IAM. Para obter informações sobre os recursos que você pode compartilhar com essas entidades principais, consulte Recursos da AWS que podem ser compartilhados.

  • Para os seguintes tipos de recursos, você tem sete dias para aceitar o convite para participar do compartilhamento para os seguintes tipos de recursos. Se você não aceitar o convite antes que ele expire, ele será automaticamente recusado.

    Importante

    Para tipos de recursos compartilhados que não estão na lista a seguir, você tem 12 horas para aceitar o convite para participar do compartilhamento de recursos. Depois de 12 horas, o convite expira e o usuário final da entidade principal no compartilhamento de recursos é desassociado. O convite não pode mais ser aceito pelos usuários finais.

    • Amazon Aurora: clusters de banco de dados

    • Amazon EC2: reservas de capacidade e hosts dedicados

    • AWS License Manager: configurações de licença

    • AWS Outposts: tabelas de rotas de gateway local, postos avançados e sites

    • Amazon Route 53: regras de encaminhamento

    • Amazon VPC: endereços IPv4 de propriedade do cliente, listas de prefixos, sub-redes, alvos de espelhamento de tráfego, gateways de trânsito, domínios multicast de gateway de trânsito

Console
Criar o compartilhamento de um recurso

  1. Abra o console de AWS RAM.

  2. Como os compartilhamentos de recursos do AWS RAM existem em Regiões da AWS específicas, escolha a Região da AWS apropriada na lista suspensa no canto superior direito do console. Para ver os compartilhamentos de recursos que contêm recursos globais, defina a Região da AWS como Leste dos EUA (Norte da Virgínia), (us-east-1). Para obter mais informações sobre o compartilhamento de recursos globais, consulte Compartilhamento de recursos regionais em comparação com recursos globais. Se você quiser incluir recursos globais no compartilhamento de recursos, deverá escolher a região de origem designada, Leste dos EUA (Norte da Virgínia), us-east-1.

  3. Se você for novo no AWS RAM, selecione Criar um compartilhamento de recursos na página inicial. Caso contrário, escolha Criar compartilhamento de recursos na página Compartilhado por mim: compartilhamentos de recursos.

  4. Na Etapa 1: Especificar detalhes do compartilhamento de recursos, faça o seguinte:

    1. Em Nome, insira um nome descritivo para o compartilhamento de recursos.

    2. Em Recursos, escolha recursos para adicionar ao compartilhamento de recursos da seguinte forma:

      • Em Selecionar tipo de recurso, selecione o tipo de recurso para compartilhar. Isso filtra a lista de recursos compartilháveis para os recursos do tipo selecionado.

      • Na lista de recursos resultante, marque as caixas de seleção ao lado dos recursos individuais que você deseja compartilhar. Os recursos selecionados são movidos para Recursos selecionados.

        Se você estiver compartilhando recursos associados a uma zona de disponibilidade específica, usar o ID da zona de disponibilidade (ID de AZ) ajudará a determinar a localização relativa desses recursos nas contas. Para obter mais informações, consulte IDs de zona de disponibilidade para seus recursos da AWS.

    3. (Opcional) Para anexar tags ao compartilhamento de recursos, em Tags, insira uma chave e um valor de tag. Adicione outras escolhendo Adicionar nova tag. Repita esta etapa conforme necessário. Essas tags se aplicam somente ao compartilhamento de recursos em si, não aos recursos no compartilhamento de recursos.

  5. Escolha Próximo.

  6. Na Etapa 2: Associar uma permissão gerenciada a cada tipo de recurso, você pode escolher associar uma permissão gerenciada criada pela AWS ao tipo de recurso, escolher uma permissão gerenciada pelo cliente existente ou criar sua própria permissão gerenciada pelo cliente para os tipos de recursos compatíveis. Para obter mais informações, consulte Tipos de permissões gerenciadas.

    Escolha Criar permissão gerenciada pelo cliente para criar uma permissão gerenciada pelo cliente que atenda aos requisitos do seu caso de uso de compartilhamento. Para obter mais informações, consulte Criar uma permissão gerenciada pelo cliente. Depois de concluir o processo, escolha Refresh icon e selecione sua nova permissão gerenciada pelo cliente na lista suspensa Permissões gerenciadas.

    nota

    Se a permissão gerenciada selecionada tiver várias versões, o AWS RAM anexará automaticamente a versão padrão. Você pode anexar somente a versão designada como padrão.

    Para exibir as ações que a permissão gerenciada permite, expanda Exibir o modelo de política dessa permissão gerenciada.

  7. Escolha Próximo.

  8. Na Etapa 3: Conceder acesso às entidades principais, faça o seguinte:

    1. Por padrão, Permitir compartilhamento com qualquer pessoa está selecionado, o que significa que, para os tipos de recursos que o suportam, você pode compartilhar recursos com as Contas da AWS que estão fora da sua organização. Isso não afeta os tipos de recursos que podem ser compartilhados somente dentro de uma organização, como as sub-redes da Amazon VPC. Você também pode compartilhar alguns tipos de recursos compatíveis com perfis e usuários do IAM.

      Para restringir o compartilhamento de recursos somente a contas e entidades principais em sua organização, escolha Permitir compartilhamento somente dentro de sua organização.

    2. Para entidades principais, faça o seguinte:

      • Para adicionar a organização, uma unidade organizacional (OU) ou uma Conta da AWS que faça parte de uma organização, ative Exibir estrutura organizacional. Isso exibe uma visualização em árvore da sua organização. Em seguida, marque a caixa de seleção ao lado de cada entidade principal que você deseja adicionar.

        Importante

        Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades principais na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos que o AWS RAM anexa a cada recurso no compartilhamento usa "Principal": "*". Para obter mais informações, consulte Implicações do uso de "Principal": "*" em uma política baseada em recursos.

        As entidades principais das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades principais apropriadas. Essas políticas devem conceder acesso Allow aos ARNs de recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos.

        • Se você selecionar a organização (o ID começa com o-), as entidades principais de todas as Contas da AWS na organização poderão acessar o compartilhamento de recursos.

        • Se você selecionar uma OU (o ID começa com ou-), as entidades principais de todas as Contas da AWS nessa OU e suas OUs secundárias poderão acessar o compartilhamento de recursos.

        • Se você selecionar uma Conta da AWS individual, somente as entidades principais dessa conta poderão acessar o compartilhamento de recursos.

        nota

        A opção Exibir estrutura organizacional aparecerá somente se o compartilhamento com o AWS Organizations estiver ativado e você estiver conectado à conta de gerenciamento da organização.

        Você não pode usar esse método para especificar uma Conta da AWS externa à sua organização ou um usuário ou perfil do IAM. Em vez disso, você deve desativar Exibir estrutura organizacional e usar a lista suspensa e a caixa de texto para inserir o ID ou o ARN.

      • Para especificar uma entidade principal por ID ou ARN, incluindo entidades principais que estão fora da organização, selecione o tipo de entidade principal para cada entidade principal. Em seguida, insira o ID (para uma Conta da AWS, organização ou OU) ou o ARN (para um usuário ou perfil do IAM) e escolha Adicionar. Os tipos de entidades principais e formatos de ID e ARN disponíveis são os seguintes:

        • Conta da AWS: para adicionar uma Conta da AWS, insira o ID da conta de 12 dígitos. Por exemplo:

          123456789012

        • Organização: para adicionar todas as Contas da AWS da sua organização, insira o ID da organização. Por exemplo:

          o-abcd1234

        • Unidade organizacional (OU): para adicionar uma OU, insira a ID da OU. Por exemplo:

          ou-abcd-1234efgh

        • Perfil do IAM: para adicionar um perfil do IAM, insira o ARN do perfil. Use a seguinte sintaxe:

          arn:partition:iam::account:role/role-name

          Por exemplo:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          nota

          Para obter o ARN exclusivo para um perfil do IAM, veja a lista de perfis no console do IAM use o comando get-role da AWS CLI ou a ação da API GetRole.

        • Usuário do IAM: para adicionar um usuário do IAM, insira o ARN do usuário. Use a seguinte sintaxe:

          arn:partition:iam::account:user/user-name

          Por exemplo:

          arn:aws:iam::123456789012:user/bob

          nota

          Para obter o ARN exclusivo para um usuário do IAM, veja a lista de usuários no console do IAM, use o comando get-user da AWS CLI ou a ação GetUser da API.

      • Entidade principal de serviço: para adicionar uma entidade principal de serviço, escolha Entidade principal de serviço na caixa Selecionar do tipo de entidade principal. Insira o nome da entidade principal do serviço da AWS. Use a seguinte sintaxe:

        • service-id.amazonaws.com

          Por exemplo:

          pca-connector-ad.amazonaws.com

    3. Em Entidades principais selecionadas, verifique se as entidades principais que você especificou aparecem na lista.

  9. Escolha Próximo.

  10. Na Etapa 4: revisar e criar, revise os detalhes da configuração do seu compartilhamento de recursos. Para alterar a configuração de qualquer etapa, escolha o link que corresponde à etapa à qual você deseja voltar e faça as alterações necessárias.

  11. Depois de concluir a revisão do compartilhamento de recursos, escolha Criar compartilhamento de recursos.

    Pode levar alguns minutos para que as associações de entidades principais entre recurso e principal sejam concluídas. Permita que esse processo seja concluído antes de tentar usar o compartilhamento de recursos.

  12. É possível adicionar e remover recursos e entidades principais ou aplicar tags personalizadas ao recurso a qualquer momento. Você pode alterar a permissão gerenciada para tipos de recursos incluídos em seu compartilhamento de recursos, para aqueles tipos que oferecem suporte a mais do que a permissão gerenciada padrão. É possível excluir o recurso quando você não quiser mais compartilhar os recursos. Para obter mais informações, consulte Compartilhar seus recursos da AWS.

AWS CLI
Criar o compartilhamento de um recurso

Use o comando create-resource-share. O comando a seguir cria um compartilhamento de recursos que é compartilhado com todas as Contas da AWS na organização. O compartilhamento contém uma configuração de licença da AWS License Manager e concede as permissões gerenciadas padrão para esse tipo de recurso.

nota

Se quiser usar uma permissão gerenciada pelo cliente com um tipo de recurso nesse compartilhamento de recursos, você pode usar uma permissão gerenciada pelo cliente existente ou criar uma nova permissão gerenciada pelo cliente. Anote o ARN da permissão gerenciada pelo cliente e crie o compartilhamento de recursos. Para obter mais informações, consulte Criar uma permissão gerenciada pelo cliente.

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}