Atualizar o compartilhamento de um recurso AWS RAM - AWS Resource Access Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualizar o compartilhamento de um recurso AWS RAM

Você pode atualizar um compartilhamento de recursos AWS RAM a qualquer momento das seguintes formas:

  • É possível adicionar recursos de uma entidade principal, ou tags para um compartilhamento de recursos que você criou.

  • Para tipos de recursos que oferecem suporte a mais do que a permissão AWS gerenciada padrão, você pode escolher qual permissão gerenciada se aplica aos recursos de cada tipo.

  • Quando uma permissão gerenciada anexada ao compartilhamento de recursos tem uma nova versão padrão, você pode atualizar a permissão gerenciada para usar a nova versão.

  • É possível revogar o acesso a recursos compartilhados removendo entidades principais ou recursos de um recurso compartilhado. Se você revogar o acesso, as entidades principais não terão mais acesso aos recursos compartilhados.

nota

As entidades principais com quem você compartilha recursos poderão sair do compartilhamento de recursos se o compartilhamento estiver vazio ou contiver apenas tipos de recursos que dão suporte à saída de um compartilhamento de recursos. Se o compartilhamento de recursos contiver tipos de recursos que não suportam a saída, uma mensagem será exibida informando às entidadades principais que devem entrar em contato com o proprietário do compartilhamento. Nesse caso, você, como proprietário do compartilhamento de recursos, deve remover as entidades principais do seu compartilhamento de recursos. Para obter uma lista de tipos de recursos que não oferecem suporte a essa ação, consulte Pré-requisitos para deixar o compartilhamento de um recurso.

Console
Atualizar o compartilhamento de um recurso

  1. Navegue até a página Compartilhado por mim: compartilhamentos de recursos na página do AWS RAM console.

  2. Como AWS RAM existem compartilhamentos de recursos específicos, Regiões da AWS escolha o apropriado na Região da AWS lista suspensa no canto superior direito do console. Para ver os compartilhamentos de recursos que contêm recursos globais, Região da AWS defina como Leste dos EUA (Norte da Virgínia), (us-east-1). Para obter mais informações sobre o compartilhamento de recurssos globais, consulte Compartilhamento de recursos regionais em comparação com recursos globais.

  3. Selecione o compartilhamento de recursos e escolha Modificar.

  4. Na Etapa 1: Especifique os detalhes do compartilhamento de recursos, revise os detalhes do compartilhamento de recursos e, se necessário, atualize qualquer um dos seguintes:

    1. (Opcional) Para alterar o nome do compartilhamento de recurso, edite Nome.

    2. (Opcional) Para adicionar um recurso ao compartilhamento de recursos, em Recursos, escolha o tipo de recurso e marque a caixa de seleção ao lado do recurso para adicioná-lo ao compartilhamento de recursos. Os recursos globais aparecem somente se você definir a região como Leste dos EUA (Norte da Virgínia), (us-east-1) na AWS Management Console.

    3. (Opcional) Para remover um recurso do compartilhamento de recursos, localize o recurso em Recursos selecionados e escolha o X ao lado da ID do recurso.

    4. (Opcional) Para adicionar uma tag ao compartilhamento de recursos, em Tags, insira a chave e o valor da tag nas caixas de texto vazias. Para adicionar mais de um par de chave e valor de tag, escolha Adicionar nova tag. É possível adicionar até 50 tags.

    5. Para remover uma tag do compartilhamento de recursos, em Tags, localize a tag e escolha Remover ao lado dela.

  5. Escolha Next (Próximo).

  6. (Opcional) Na Etapa 2: Associar uma permissão gerenciada a cada tipo de recurso, você pode escolher associar uma permissão gerenciada criada por AWS ao tipo de recurso, escolher uma permissão gerenciada pelo cliente existente ou criar sua própria permissão gerenciada pelo cliente. Para obter mais informações, consulte Tipos de permissões gerenciadas.

    Você também pode escolher Criar permissão gerenciada pelo cliente para criar uma permissão gerenciada pelo cliente que atenda aos requisitos do seu caso de uso de compartilhamento. Para obter mais informações, consulte Criar uma política gerenciada pelo cliente. Depois de concluir o processo, escolha Refresh icon e selecione sua nova permissão gerenciada pelo cliente na lista suspensa Permissão gerenciada.

    Para exibir as ações que a permissão gerenciada permite, expanda Exibir o modelo de política para esta permissão gerenciada.

  7. Se a versão da permissão gerenciada atualmente atribuída ao compartilhamento de recursos não for a versão padrão atual, você poderá atualizar para a versão padrão escolhendo Atualizar para a versão padrão.

    nota

    Até salvar suas alterações no compartilhamento de recursos após a etapa final, você pode cancelar a atualização da versão escolhendo Reverter para a versão anterior. No entanto, para permissões AWS gerenciadas, depois de salvar o compartilhamento de recursos, a alteração é definitiva e você não pode mais retornar à versão anterior.

  8. Escolha Next (Próximo).

  9. Na Etapa 3: escolha os principais que têm permissão para acessar, revise os principais selecionados e, se necessário, atualize qualquer um dos seguintes:

    1. (Opcional) Para alterar se o compartilhamento está habilitado com entidades principais de dentro ou de fora da organização, escolha uma das seguintes opções:

      • Para compartilhar recursos com funções Contas da AWS ou usuários individuais do IAM que estão fora da sua organização, escolha Permitir compartilhamento com diretores externos.

      • Para restringir o compartilhamento de recursos somente às entidades principais da sua organização em AWS Organizations, escolha Permitir compartilhamento somente com as entidades principais da sua organização.

    2. Para Entidades principais, faça o seguinte:

      • (Opcional) Para adicionar uma organização, unidade organizacional (OU) ou membro Conta da AWS dentro da sua organização, ative Exibir estrutura organizacional para exibir uma visualização em árvore da sua organização. Em seguida, marque a caixa de seleção ao lado de cada entidade principal que você deseja adicionar.

        Importante

        Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades principais na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos AWS RAM anexada a cada recurso no compartilhamento usa. "Principal": "*" Para obter mais informações, consulte Implicações do uso da "Principal": "*" em uma política baseada em recursos.

        Os diretores das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades principais apropriadas. Essas políticas devem conceder Allow acesso aos ARNs de recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos.

        nota

        A opção Exibir estrutura organizacionalaparece somente se o compartilhamento com AWS Organizations estiver ativado e você estiver conectado como entidade principal na conta de gerenciamento da organização.

        Você não pode usar esse método para especificar uma função ou usuário Conta da AWS externo à sua organização ou função do IAM. Em vez disso, você deve adicionar essas entidades principais inserindo seus identificadores, que são mostrados na caixa de texto abaixo da opção Exibir estrutura organizacional. Veja o próximo bullet point.

      • (Opcional) Para adicionar um principal por meio de seu identificador, escolha o tipo entidade principal na lista suspensa e, em seguida, insira o ID ou o ARN da entidade principal. Por fim, escolha Adicionar.

        Se você selecionar uma pessoa Conta da AWS, somente essa conta poderá acessar o compartilhamento de recursos. Escolha uma das seguintes opções.

        • Outro Conta da AWS (que não seja o proprietário do recurso) Disponibiliza o recurso para a outra conta. O administrador dessa conta deve concluir o processo concedendo acesso ao recurso compartilhado usando políticas de permissão baseadas em identidade para funções e usuários individuais. Essas permissões não podem exceder as definidas nas permissões gerenciadas anexadas ao compartilhamento de recursos.

        • Isso Conta da AWS (proprietário do recurso) Todas as funções e usuários na conta proprietária do recurso recebem automaticamente o acesso definido pelas permissões gerenciadas anexadas ao compartilhamento de recursos.

      • A adição aparece imediatamente na lista de entodades principais selecionadas.

        Em seguida, você pode adicionar outras contas, OUs ou sua organização repetindo essa etapa.

      • (Opcional) Para remover uma entidade principal, localize-a em Entidades principais selecionadas, marque sua caixa de seleção e escolha Desmarcar.

  10. Escolha Next (Próximo).

  11. Na Etapa 4: revisar e atualizar, revise os detalhes da configuração do seu compartilhamento de recursos.

  12. Para alterar a configuração de qualquer etapa, escolha o link que corresponde à etapa para a qual você deseja voltar e, em seguida, faça as alterações necessárias.

    Se alguma permissão gerenciada ainda estiver usando versões diferentes da padrão, você terá outra oportunidade de resolver isso escolhendo Atualizar para a versão padrão.

  13. Escolha Atualizar compartilhamento de recursos quando terminar de fazer alterações.

AWS CLI
Atualizar o compartilhamento de um recurso

Você pode usar os seguintes AWS CLI comandos para modificar um compartilhamento de recursos:

  • Para renomear um compartilhamento de recursos ou alterar se as entidades principais externas são permitidas, use o comando. update-resource-share O exemplo a seguir renomeia o compartilhamento de recursos especificado e o define para permitir somente entidades principais de sua organização. Você deve usar o endpoint de serviço para o Região da AWS que contém o compartilhamento de recursos. 

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • Para adicionar um recurso a um compartilhamento de recursos, use o comando associate-resource-share. O exemplo a seguir adiciona uma sub-rede ao compartilhamento de recursos especificado.

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • Para adicionar ou substituir uma permissão gerenciada para um tipo de recurso em um compartilhamento de recursos, use os comandos list-permissions e associate-resource-share-permission. Você pode anexar somente uma permissão gerenciada para cada tipo de recurso em um compartilhamento de recursos. Se você tentar adicionar uma permissão gerenciada a um tipo de recurso que já tem uma permissão gerenciada, deverá incluir a --replace opção ou o comando falhará com um erro.

    O comando de exemplo a seguir lista os ARNs para as permissões gerenciadas disponíveis para uma sub-rede do Amazon Elastic Compute Cloud (Amazon EC2) e, em seguida, usa um desses ARNs para substituir a permissão gerenciada AWS atualmente atribuída para esse tipo de recurso no compartilhamento de recursos especificado. 

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • Para remover um recurso de um compartilhamento de recursos, use o comando disassociate-resource-share. O exemplo a seguir remove a sub-rede do Amazon EC2 com o ARN especificado do compartilhamento de recursos especificado.

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • Para modificar as tags anexadas a um compartilhamento de recursos, use os comandos tag-resource e untag-resource. O exemplo a seguir adiciona a tag project=lima ao compartilhamento de recursos especificado.

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    O exemplo a seguir remove a tag com uma chave de project do compartilhamento de recursos especificado.

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    Esse comando não gera nenhuma saída quando é bem-sucedido.