Criar um compartilhamento de recursos AWS RAM - AWS Resource Access Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um compartilhamento de recursos AWS RAM

Para compartilhar recursos de sua propriedade, crie um compartilhamento de recursos. Aqui está uma visão geral do processo:

  1. Adicione os recursos que você deseja compartilhar.

  2. Para cada tipo de recurso que você incluir no compartilhamento, especifique a permissão gerenciada a ser usada para esse tipo de recurso.

    • Você pode escolher entre uma das permissões AWS gerenciadas disponíveis, uma permissão gerenciada pelo cliente existente ou criar uma nova permissão gerenciada pelo cliente.

    • AWS as permissões gerenciadas são criadas por AWS para cobrir casos de uso padrão.

    • As permissões gerenciadas pelo cliente permitem que você personalize suas próprias permissões gerenciadas para atender às suas necessidades de segurança e negócios.

    nota

    Se a permissão gerenciada selecionada tiver várias versões, AWS RAM anexará automaticamente a versão padrão. Você pode anexar somente a versão designada como padrão.

  3. Especifique as entidades as quais você deseja que tenham acesso aos recursos.

Considerações

  • Se você precisar excluir posteriormente um AWS recurso incluído em um compartilhamento, recomendamos que primeiro remova o recurso de qualquer compartilhamento de recursos que o inclua ou exclua o compartilhamento de recursos.

  • Os tipos de recursos que você pode incluir em um compartilhamento de recursos estão listados em Recursos compartilháveis AWS.

  • Você só poderá compartilhar um recurso se for o proprietário dele. Não é possível compartilhar um recurso compartilhado com você.

  • AWS RAM é um serviço regional. Quando você compartilha um recurso com entidades em outros Contas da AWS, essas entidades devem acessar cada recurso do mesmo Região da AWS que ele foi criado. Para recursos globais compatíveis, você pode acessar esses recursos de qualquer um Região da AWS que seja compatível com o console de serviço e as ferramentas desse recurso. Você pode visualizar esses compartilhamentos de recursos e seus recursos globais no AWS RAM console e nas ferramentas somente na região de origem designada, Leste dos EUA (Norte da Virgínia) us-east-1. Para obter mais informações sobre AWS RAM recursos globais, consulte Compartilhamento de recursos regionais em comparação com recursos globais.

  • Se a conta da qual você estiver compartilhando fizer parte de uma organização AWS Organizations e o compartilhamento estiver habilitado na organização, todas as entidades da organização com a qual você compartilha receberão acesso automaticamente aos compartilhamentos de recursos sem o uso de convites. Uma entidade principal em uma conta com a qual você compartilha dados fora do contexto de uma organização recebe um convite para ingressar no compartilhamento de recursos e acesso aos recursos compartilhados somente após aceitar o convite.

  • Se você compartilhar com uma entidade principal de serviço, não poderá associar quaisquer outras entidades o compartilhamento de recursos.

  • Se o compartilhamento for entre contas ou entidades que fazem parte de uma organização, qualquer alteração na associação à organização afetará dinamicamente o acesso ao compartilhamento de recursos.

    • Se você adicionar um Conta da AWS à organização ou a uma OU que tenha acesso a um compartilhamento de recursos, essa nova conta de membro automaticamente terá acesso ao compartilhamento de recursos. O administrador da conta com a qual você compartilhou pode então conceder às entidades individuais dessa conta acesso aos recursos desse compartilhamento.

    • Se você remover uma conta da organização ou de uma OU que tenha acesso a um compartilhamento de recursos, todas as entidades dessa conta perderão automaticamente o acesso aos recursos que foram acessados por meio desse compartilhamento de recursos.

    • Se você compartilhou diretamente com uma conta membro ou com funções do IAM ou usuários na conta membro e depois remover essa conta da organização, todas as entidades dessa conta perderão o acesso aos recursos que foram acessados por meio desse compartilhamento de recursos.

    Importante

    Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos AWS RAM anexada a cada recurso no compartilhamento usa "Principal": "*". Para obter mais informações, consulte Implicações do uso da "Principal": "*" em uma política baseada em recursos.

    As entidades das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades apropriadas. Essas políticas devem conceder Allow acesso aos ARNs de recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos.

  • Você pode adicionar somente a organização da qual sua conta é membro e OUs dessa organização aos seus compartilhamentos de recursos. Você não pode adicionar OUs ou organizações de fora da sua própria organização a um compartilhamento de recursos como entidades. No entanto, você pode adicionar funções individuais Contas da AWS ou, para serviços compatíveis, usuários e funções do IAM de fora da sua organização como entidades de um compartilhamento de recursos.

    nota

    Nem todos os tipos de recursos podem ser compartilhados com perfis e usuários do IAM. Para obter informações sobre os recursos que você pode compartilhar com essas entidades, consulte Recursos compartilháveis AWS.

  • Para os seguintes tipos de recursos, você tem sete dias para aceitar o convite para participar do compartilhamento para os seguintes tipos de recursos. Se você não aceitar o convite antes que ele expire, ele será automaticamente recusado.

    Importante

    Para tipos de recursos compartilhados que não estão na lista a seguir, você tem 12 horas para aceitar o convite para participar do compartilhamento de recursos. Após 12 horas, o convite expira e a entidade principal do utilizador final no compartilhamento de recursos é desassociado. O convite não pode mais ser aceito pelos usuários finais.

    • Amazon Aurora – clusters de banco de dados

    • Amazon EC2 — reservas de capacidade e hosts dedicados

    • AWS License Manager - Configurações de licença

    • AWS Outposts - Tabelas de rotas de gateway local, postos avançados e sites

    • Amazon Route 53 — Regras de encaminhamento

    • Amazon VPC — endereços IPv4 de propriedade do cliente, listas de prefixos, sub-redes, alvos de espelhamento de tráfego, gateways de trânsito, domínios multicast de gateway de trânsito

Console
Criar o compartilhamento de um recurso

  1. Abra o console do AWS RAM.

  2. Como os compartilhamentos de AWS RAM recursos existem Regiões da AWS de forma específica Região da AWS, escolha o apropriado na lista suspensa no canto superior direito do console. Para ver os compartilhamentos de recursos que contêm recursos globais, Região da AWS defina o como Leste dos EUA (Norte da Virgínia), (us-east-1). Para obter mais informações sobre o compartilhamento de recursos de compartilhamento globais, consulte Compartilhamento de recursos regionais em comparação com recursos globais. Se você quiser incluir recursos globais no compartilhamento de recursos, deverá escolher a região de origem designada, Leste dos EUA (Norte da Virgínia) us-east-1.

  3. Se você for novo no AWS RAM, selecione Criar um compartilhamento de recurso na página inicial. Caso contrário, escolha Criar compartilhamento de recursos na página Compartilhado por mim: página de compartilhamentos de recursos.

  4. Na Etapa 1: Especificar detalhes do compartilhamento de recursos, faça o seguinte:

    1. Em Nome, insira um nome descritivo para o compartilhamento de recursos.

    2. Em Recursos, escolha recursos para adicionar ao compartilhamento de recursos da seguinte forma:

      • Em Selecionar tipo de recurso, selecione o tipo de recurso para compartilhar. Isso filtra a lista de recursos compartilháveis para os recursos do tipo selecionado.

      • Na lista de recursos resultante, marque as caixas de seleção ao lado dos recursos individuais que você deseja compartilhar. Os recursos selecionados são movidos para Recursos selecionados.

        Se você estiver compartilhando recursos associados a uma zona de disponibilidade específica, usar o ID da zona de disponibilidade (ID AZ) ajudará a determinar a localização relativa desses recursos nas contas. Para obter mais informações, consulte IDs de zona de disponibilidade para seus AWS recursos.

    3. (Opcional) Para anexar tags ao compartilhamento de recursos, em Tags, insira uma chave e um valor de tag. Adicione outras pessoas escolhendo Adicionar nova tag. Repita esta etapa conforme necessário. Essas tags se aplicam somente ao compartilhamento de recursos em si, não aos recursos no compartilhamento de recursos.

  5. Escolha Next (Próximo).

  6. Na Etapa 2: Associar uma permissão gerenciada a cada tipo de recurso, você pode escolher associar uma permissão gerenciada criada por AWS ao tipo de recurso, escolher uma permissão gerenciada pelo cliente existente ou criar sua própria permissão gerenciada pelo cliente para os tipos de recursos compatíveis. Para obter mais informações, consulte Tipos de permissões gerenciadas.

    Escolha Criar permissão gerenciada pelo cliente para criar uma permissão gerenciada pelo cliente que atenda aos requisitos do seu caso de uso de compartilhamento. Para mais informações, consulte Criar uma política gerenciada pelo cliente. Depois de concluir o processo, escolha Refresh icon e selecione sua nova permissão gerenciada pelo cliente na lista suspensa Permissões gerenciadas.

    nota

    Se a permissão gerenciada selecionada tiver várias versões, AWS RAM anexará automaticamente a versão padrão. Você pode anexar somente a versão designada como padrão.

    Para exibir as ações que a permissão gerenciada permite, expanda Exibir o modelo de política dessa permissão gerenciada.

  7. Escolha Next (Próximo).

  8. Na Etapa 3: Conceder acesso às entidades, faça o seguinte:

    1. Por padrão, Permitir compartilhamento com qualquer pessoa está selecionado, o que significa que, para os tipos de recursos que o suportam, você pode compartilhar recursos com pessoas Contas da AWS que estão fora da sua organização. Isso não afeta os tipos de recursos que podem ser compartilhados somente dentro de uma organização, como as sub-redes do Amazon VPC. Você também pode compartilhar alguns tipos de recursos compatíveis com perfis e usuários do IAM.

      Para restringir o compartilhamento de recursos somente a contas e diretores em sua organização, escolha Permitir compartilhamento somente dentro de sua organização.

    2. Para entidades, faça o seguinte:

      • Para adicionar a organização, uma unidade organizacional (OU) ou uma Conta da AWS que faça parte de uma organização, ative Exibir estrutura organizacional. Isso exibe uma visualização em árvore da sua organização. Em seguida, marque a caixa de seleção ao lado de cada entidade principal que você deseja adicionar.

        Importante

        Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos AWS RAM anexada a cada recurso no compartilhamento usa "Principal": "*". Para obter mais informações, consulte Implicações do uso da "Principal": "*" em uma política baseada em recursos.

        As entidades das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades apropriadas. Essas políticas devem conceder Allow acesso aos ARNs de recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos.

        • Se você selecionar a organização (o ID começa com o-), as entidades de toda Contas da AWS a organização poderão acessar o compartilhamento de recursos.

        • Se você selecionar uma OU (o ID começa com ou-), as entidades de toda Contas da AWS essa OU e suas OUs secundárias poderão acessar o compartilhamento de recursos.

        • Se você selecionar um individual Conta da AWS, somente as entidades dessa conta poderão acessar o compartilhamento de recursos.

        nota

        A opção Exibir estrutura organizacional aparece somente se o compartilhamento com AWS Organizations estiver ativado e você estiver conectado à conta de gerenciamento da organização.

        Você não pode usar esse método para especificar uma função ou usuário Conta da AWS externo à sua organização ou função do IAM. Em vez disso, você deve desativar Exibir estrutura organizacional e usar a lista suspensa e a caixa de texto para inserir o ID ou o ARN.

      • Para especificar uma entidade principal por ID ou ARN, incluindo entidades principais que estão fora da organização, selecione o tipo de entidade principal para cada entidade. Em seguida, insira o ID (para uma Conta da AWS organização ou OU) ou o ARN (para uma função ou usuário do IAM) e escolha Adicionar. As entidades principais tipos e formatos de ID e ARN disponíveis são os seguintes:

        • Conta da AWS — Para adicionar um Conta da AWS, insira o ID da conta de 12 dígitos. Por exemplo:

          123456789012

        • Organização — Para adicionar todos os Contas da AWS da sua organização, insira o ID da organização. Por exemplo:

          o-abcd1234

        • Unidade organizacional (OU) — Para adicionar uma OU, insira a ID da OU. Por exemplo:

          ou-abcd-1234efgh

        • Função do IAM — Para adicionar uma função do IAM, insira o ARN da função. Use a seguinte sintaxe:

          arn:partition:iam::account:role/role-name

          Por exemplo:

          arn:aws:iam::123456789012:role/MyS3AccessRole

          nota

          Para obter o ARN exclusivo para uma função do IAM, veja a lista de funções no console do IAM, use o comando get-role AWS CLI ou a ação da API getRole.

        • Usuário do IAM Para adicionar um usuário do IAM, insira o ARN do usuário. Use a seguinte sintaxe:

          arn:partition:iam::account:user/user-name

          Por exemplo:

          arn:aws:iam::123456789012:user/bob

          nota

          Para obter o ARN exclusivo para um usuário do IAM, visualize a lista de usuários no console do IAM, use o get-userAWS CLI comando ou a ação da GetUser API.

      • Entidade principal de serviço Para adicionar uma entidade principal de serviço, escolha Entidade de serviço na caixa de seleção seleção da entidade principal. Insira a entidade principal do AWS e o nome da entidade. Use a seguinte sintaxe:

        • service-id.amazonaws.com

          Por exemplo:

          pca-connector-ad.amazonaws.com

    3. Para Entidades selecionadas, verifique se as entidades que você especificou aparecem na lista.

  9. Escolha Next (Próximo).

  10. Na Etapa 4: revisar e criar, revise os detalhes da configuração do seu compartilhamento de recursos. Para alterar a configuração de qualquer etapa, escolha o link que corresponde à etapa à qual você deseja voltar e faça as alterações necessárias.

  11. Depois de concluir a revisão do compartilhamento de recursos, escolha Criar compartilhamento de recursos.

    Pode levar alguns minutos para que as associações entre recurso e principal sejam concluídas. Permite que esse processo seja concluído antes de tentar usar o compartilhamento de recursos.

  12. É possível adicionar e remover recursos e entidades ou aplicar tags personalizadas ao seu recurso compartilhado a qualquer momento. Você pode alterar a permissão gerenciada para tipos de recursos incluídos em seu compartilhamento de recursos, para aqueles tipos que oferecem suporte a mais do que a permissão gerenciada padrão. É possível excluir o recurso quando você não quiser mais compartilhar os recursos. Para obter mais informações, consulte Compartilhamento AWS de recursos pertencentes a você.

AWS CLI
Criar o compartilhamento de um recurso

Use o comando create-resource-share. O comando a seguir cria um compartilhamento de recursos que é compartilhado com todos Contas da AWS na organização. O compartilhamento contém uma configuração de AWS License Manager licença e concede as permissões gerenciadas padrão para esse tipo de recurso.

nota

Se quiser usar uma permissão gerenciada pelo cliente com um tipo de recurso nesse compartilhamento de recursos, você pode usar uma permissão gerenciada pelo cliente existente ou criar uma nova permissão gerenciada pelo cliente. Anote o ARN da permissão gerenciada pelo cliente e crie o compartilhamento de recursos. Para obter mais informações, consulte Criar uma política gerenciada pelo cliente.

$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}