As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Atualizar um compartilhamento de recursos no AWS RAM
Você pode atualizar um compartilhamento de recursos AWS RAM a qualquer momento das seguintes formas:
-
É possível adicionar recursos de uma entidade principal, ou tags para um compartilhamento de recursos que você criou.
-
Para tipos de recursos que oferecem suporte a mais do que a permissão AWS gerenciada padrão, você pode escolher qual permissão gerenciada se aplica aos recursos de cada tipo.
-
Quando uma permissão gerenciada anexada ao compartilhamento de recursos tem uma nova versão padrão, você pode atualizar a permissão gerenciada para usar a nova versão.
-
É possível revogar o acesso a recursos compartilhados removendo entidades principais ou recursos de um recurso compartilhado. Se você revogar o acesso, as entidades principais não terão mais acesso aos recursos compartilhados.
nota
As entidades principais com quem você compartilha recursos poderão sair do compartilhamento de recursos se o compartilhamento estiver vazio ou contiver apenas tipos de recursos que dão suporte à saída de um compartilhamento de recursos. Se o compartilhamento de recursos contiver tipos de recursos que não suportam a saída, uma mensagem será exibida informando às entidades principais que devem entrar em contato com o proprietário do compartilhamento. Nesse caso, você, como proprietário do compartilhamento de recursos, deve remover as entidades principais do seu compartilhamento de recursos. Para obter uma lista de tipos de recursos que não oferecem suporte a essa ação, consulte Pré-requisitos para deixar o compartilhamento de um recurso.
- Console
-
Atualizar o compartilhamento de um recurso
-
Navegue até a página Compartilhado por mim: compartilhamentos de recursos
no console do AWS RAM . -
Como existem compartilhamentos de AWS RAM recursos específicos Regiões da AWS, escolha o apropriado na Região da AWS lista suspensa no canto superior direito do console. Para ver os compartilhamentos de recursos que contêm recursos globais, você deve Região da AWS definir o como Leste dos EUA (Norte da Virgínia), (
us-east-1
). Para obter mais informações sobre o compartilhamento de recursos globais, consulte Compartilhamento de recursos regionais em comparação com recursos globais. -
Selecione o compartilhamento de recursos e escolha Modificar.
-
Na Etapa 1: Especifique os detalhes do compartilhamento de recursos, revise os detalhes do compartilhamento de recursos e, se necessário, atualize qualquer um dos seguintes:
-
(Opcional) Para alterar o nome do compartilhamento de recurso, edite Nome.
-
(Opcional) Para adicionar um recurso ao compartilhamento de recursos, em Recursos, escolha o tipo de recurso e marque a caixa de seleção ao lado do recurso para adicioná-lo ao compartilhamento de recursos. Os recursos globais aparecem somente se você definir a região como Leste dos EUA (Norte da Virgínia), (
us-east-1
) no AWS Management Console. -
(Opcional) Para remover um recurso do compartilhamento de recursos, localize o recurso em Recursos selecionados e escolha o X ao lado da ID do recurso.
-
(Opcional) Para adicionar uma tag ao compartilhamento de recursos, em Tags, insira a chave e o valor da tag nas caixas de texto vazias. Para adicionar mais de um par de chave e valor de tag, escolha Adicionar nova tag. É possível adicionar até 50 tags.
-
Para remover uma tag do compartilhamento de recursos, em Tags, localize a tag e escolha Remover ao lado dela.
-
-
Escolha Próximo.
-
(Opcional) Na Etapa 2: Associar uma permissão gerenciada a cada tipo de recurso, você pode escolher associar uma permissão gerenciada criada por AWS ao tipo de recurso, escolher uma permissão gerenciada pelo cliente existente ou criar sua própria permissão gerenciada pelo cliente. Para obter mais informações, consulte Tipos de permissões gerenciadas.
Você também pode escolher Criar permissão gerenciada pelo cliente para criar uma permissão gerenciada pelo cliente que atenda aos requisitos do seu caso de uso de compartilhamento. Para obter mais informações, consulte Criar uma política gerenciada pelo cliente. Depois de concluir o processo, escolha
e selecione sua nova permissão gerenciada pelo cliente na lista suspensa Permissão gerenciada.
Para exibir as ações que a permissão gerenciada permite, expanda Exibir o modelo de política dessa permissão gerenciada.
-
Se a versão da permissão gerenciada atualmente atribuída ao compartilhamento de recursos não for a versão padrão atual, você poderá atualizar para a versão padrão escolhendo Atualizar para a versão padrão.
nota
Até salvar suas alterações no compartilhamento de recursos após a etapa final, você pode cancelar a atualização da versão escolhendo Reverter para a versão anterior. No entanto, para permissões AWS gerenciadas, depois de salvar o compartilhamento de recursos, a alteração é definitiva e você não pode mais retornar à versão anterior.
-
Escolha Próximo.
-
Na Etapa 3: Escolher as entidades principais que têm permissão para acessar, revise os principais selecionados e, se necessário, atualize qualquer um dos seguintes:
-
(Opcional) Para alterar se o compartilhamento está habilitado com entidades principais de dentro ou de fora da organização, escolha uma das seguintes opções:
-
Para compartilhar recursos com IAM funções Contas da AWS ou usuários individuais que estão fora da sua organização, escolha Permitir compartilhamento com diretores externos.
-
Para restringir o compartilhamento de recursos somente aos diretores da sua organização em AWS Organizations, escolha Permitir compartilhamento somente com os diretores da sua organização.
-
-
Para entidades principais, faça o seguinte:
-
(Opcional) Para adicionar uma organização, unidade organizacional (OU) ou membro Conta da AWS dentro da sua organização, ative Exibir estrutura organizacional para exibir uma visualização em árvore da sua organização. Em seguida, marque a caixa de seleção ao lado de cada principal que você deseja adicionar.
Importante
Quando você compartilha com uma organização ou uma OU, e esse escopo inclui a conta que possui o compartilhamento de recursos, todas as entidades principais na conta de compartilhamento obtêm acesso automático aos recursos no compartilhamento. O acesso concedido é definido pelas permissões gerenciadas associadas ao compartilhamento. Isso ocorre porque a política baseada em recursos AWS RAM anexada a cada recurso no compartilhamento usa.
"Principal": "*"
Para obter mais informações, consulte Implicações do uso "Principal": "*" em uma política baseada em recursos.As entidades principais das outras contas consumidoras não têm acesso imediato aos recursos do compartilhamento. Os administradores das outras contas devem primeiro anexar políticas de permissão baseadas em identidade às entidades principais apropriadas. Essas políticas devem conceder
Allow
acesso aos ARNs recursos individuais no compartilhamento de recursos. As permissões nessas políticas não podem exceder as especificadas na permissão gerenciada associada ao compartilhamento de recursos.nota
A opção Exibir estrutura organizacional aparece somente se o compartilhamento com o AWS Organizations estiver ativado e você estiver conectado como entidade principal na conta de gerenciamento da organização.
Você não pode usar esse método para especificar uma IAM função ou usuário Conta da AWS externo à sua organização. Em vez disso, você deve adicionar essas entidades principais inserindo seus identificadores, que são mostrados na caixa de texto abaixo da opção Exibir estrutura organizacional. Veja o próximo bullet point.
-
(Opcional) Para adicionar um principal por meio de seu identificador, escolha o tipo principal na lista suspensa e, em seguida, insira o ID ou ARN para o principal. Por fim, escolha Adicionar.
Se você selecionar uma pessoa Conta da AWS, somente essa conta poderá acessar o compartilhamento de recursos. Escolha uma das seguintes opções.
-
Outro Conta da AWS (que não seja o proprietário do recurso) — Disponibiliza o recurso para a outra conta. O administrador dessa conta deve concluir o processo concedendo acesso ao recurso compartilhado usando políticas de permissão baseadas em identidade para usuários e perfis individuais. Essas permissões não podem exceder as definidas nas permissões gerenciadas anexadas ao compartilhamento de recursos.
-
Isso Conta da AWS (proprietário do recurso) — Todas as funções e usuários na conta proprietária do recurso recebem automaticamente o acesso definido pelas permissões gerenciadas anexadas ao compartilhamento de recursos.
-
-
A adição aparece imediatamente na lista de entidades principais selecionadas.
Em seguida, você pode adicionar outras contas ou sua organização repetindo essa etapa. OUs
-
(Opcional) Para remover um principal, localize-o em Principais selecionados, marque sua caixa de seleção e escolha Desmarcar.
-
-
-
Escolha Próximo.
-
Na Etapa 4: revisar e atualizar, revise os detalhes da configuração do seu compartilhamento de recursos.
-
Para alterar a configuração de qualquer etapa, escolha o link que corresponde à etapa para a qual você deseja voltar e, em seguida, faça as alterações necessárias.
Se alguma permissão gerenciada ainda estiver usando versões diferentes da padrão, você terá outra oportunidade de resolver isso escolhendo Atualizar para a versão padrão.
-
Escolha Atualizar compartilhamento de recursos quando terminar de fazer alterações.
-
- AWS CLI
-
Atualizar o compartilhamento de um recurso
Você pode usar os seguintes AWS CLI comandos para modificar um compartilhamento de recursos:
-
Para renomear um compartilhamento de recursos ou alterar se entidades externas são permitidas, use o comando update-resource-share. O exemplo a seguir renomeia o compartilhamento de recursos especificado e o define para permitir somente diretores de sua organização. Você deve usar o endpoint de serviço para a Região da AWS que contém o compartilhamento de recursos.
$
aws ram update-resource-share \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \ --name "my-renamed-resource-share" \ --no-allow-external-principals
{ "resourceShare": { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "name": "my-renamed-resource-share", "owningAccountId": "123456789012", "allowExternalPrincipals": false, "status": "ACTIVE", "creationTime": 1565295733.282, "lastUpdatedTime": 1565303080.023 } }
-
Para adicionar um recurso a um compartilhamento de recursos, use o comando associate-resource-share. O exemplo a seguir adiciona uma sub-rede ao compartilhamento de recursos especificado.
$
aws ram associate-resource-share \ --region us-east-1 \ --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{ "resourceShareAssociations": [ "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235", "associationType": "RESOURCE", "status": "ASSOCIATING", "external": false ] }
-
Para adicionar ou substituir uma permissão gerenciada para um tipo de recurso em um compartilhamento de recursos, use os comandos list-permissions e associate-resource-share-permission. Você pode atribuir somente uma permissão gerenciada por tipo de recurso em um compartilhamento de recursos. Se você tentar adicionar uma permissão gerenciada a um tipo de recurso que já tem uma permissão gerenciada, deverá incluir a opção
--replace
, ou o comando falhará com um erro.O comando de exemplo a seguir lista as ARNs permissões gerenciadas disponíveis para uma sub-rede Amazon Elastic Compute Cloud (AmazonEC2) e, em seguida, usa uma delas ARNs para substituir a permissão AWS gerenciada atualmente atribuída para esse tipo de recurso no compartilhamento de recursos especificado.
$
aws ram list-permissions \ --resource-type ec2:Subnet
{ "permissions": [ { "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet", "version": "1", "defaultVersion": true, "name": "AWSRAMDefaultPermissionSubnet", "resourceType": "ec2:Subnet", "creationTime": "2020-02-27T11:38:26.727000-08:00", "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00" } ] }
$
aws ram associate-resource-share-permission \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{ "returnValue": true }
-
Para remover um recurso de um compartilhamento de recursos, use o comando disassociate-resource-share. O exemplo a seguir remove a EC2 sub-rede da Amazon com o especificado ARN do compartilhamento de recursos especificado.
$
aws ram disassociate-resource-share \ --region us-east-1 \ --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{ "resourceShareAssociations": [ "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235", "associationType": "RESOURCE", "status": "DISASSOCIATING", "external": false ] }
-
Para modificar as tags anexadas a um compartilhamento de recursos, use os comandos tag-resource e untag-resource. O exemplo a seguir adiciona a tag
project=lima
ao compartilhamento de recursos especificado.$
aws ram tag-resource \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --tags key=project,value=lima
O exemplo a seguir remove a tag com uma chave de
project
do compartilhamento de recursos especificado.$
aws ram untag-resource \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --tag-keys=project
Esse comando não gera nenhuma saída quando é bem-sucedido.
-