本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
可以通过以下方式与其他账户共享配置文件:
授予只读权限,这意味着其他账户可以将个人资料与其关联起来 VPCs。在这种情况下,所有 DNS 资源和配置都将在关联的 DNS 上生效 VPCs。
授予管理员权限。在这种情况下,拥有共享个人资料的账户可以修改个人资料,然后将其与其关联起来 VPCs。所有者还可以创建客户托管权限,用于指定可以由使用者账户执行的操作。有关更多信息,请参阅《AWS RAM 用户指南》中的客户托管权限。
Amazon Route 53 配置文件与 AWS Resource Access Manager (AWS RAM) 集成以实现资源共享。 AWS RAM 是一项服务,可让您与其他人 AWS 账户 或通过共享某些 Route 53 资源 AWS Organizations。使用 AWS RAM,您可以通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可包括:
-
具体 AWS 账户
-
其组织内部的组织单位 AWS Organizations
-
它的整个组织都在 AWS Organizations
有关的更多信息 AWS RAM,请参阅《AWS RAM 用户指南》。
本主题说明如何共享您拥有的资源以及如何使用共享给您的资源。
内容
授予共享 Route 53 配置文件的权限
IAM 主体需要一组最低权限才能共享配置文件。我们建议使用 AmazonRoute53ProfilesFullAccess 托管 IAM 策略,确保 IAM 主体拥有共享和使用所共享配置文件的必需权限。
如果使用自定义 IAM 策略,则需要进行 route53profiles:GetProfilePolicy 和 route53profiles:PutProfilePolicy 操作。这些是仅限权限的 IAM 操作。如果 IAM 委托人未获得这些权限,则在尝试使用该 AWS RAM 服务共享个人资料时会出错。
共享 Route 53 配置文件的先决条件
-
要共享 Route 53 个人资料,您必须在自己的账户中拥有该档案 AWS 账户。这意味着资源必须分配或预调配到您的账户。您无法共享已与您共享的 Route 53 配置文件。
-
要与您的企业或 AWS Organizations内的企业部门共享 Route 53 配置文件,您必须允许与 AWS Organizations共享。有关更多信息,请参阅AWS RAM 《用户指南》中的允许与 AWS Organizations 共享。
共享 Route 53 配置文件
当您与他人共享您拥有的个人资料时 AWS 账户,您可以让他们将该个人资料中与 DNS 相关的设置应用于他们 VPCs。这样可以更轻松地在成千上万个服务器上应用统一的 DNS 配置, VPCs 同时将管理开销降至最低。
要共享 Route 53 配置文件,您必须将它添加到资源共享。资源共享是一项 AWS RAM 资源,可让您跨 AWS 账户共享资源。资源共享指定要共享的资源以及与之共享资源的使用者。在使用 Route 53 控制台共享 Route 53 配置文件时,必须将它添加到现有资源共享。要将 Route 53 配置文件添加到新的资源共享,您必须首先使用 AWS RAM
控制台
如果您是组织中的一员, AWS Organizations 并且启用了组织内部共享,则组织中的用户将自动获得访问共享的 Route 53 个人资料的权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后获得对共享 Route 53 配置文件的访问权限。
您可以开始在 Route 53 控制台上共享您拥有的 Route 53 配置文件,然后继续在控制 AWS RAM 台上继续共享。
使用 Route 53 控制台共享所拥有的 Route 53 配置文件
登录 AWS Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/
。 -
在导航窗格中,选择配置文件。
选择要共享的个人资料,然后在个人资料详细信息页面上,选择共享个人资料。
-
您将进入 AWS RAM 控制台,在那里您可以按照以下步骤操作:在AWS RAM 用户指南中创建资源共享。
如果与您共享某个配置文件,则配置文件表中会包含“与我共享”文本。
共享配置文件后,此配置文件将在配置文件表中列示为已共享。
使用 AWS RAM 控制台共享您拥有的 Route 53 配置文件
请参阅《AWS RAM 用户指南》中的创建资源共享。
要共享您拥有的 Route 53 配置文件,请使用 AWS CLI
使用 create-resource-share 命令。
取消共享 Route 53 配置文件
当您取消共享配置文件时,如果 VPCs 该配置文件与其配置文件相关联,则这些配置文件将丢失,并默认为特定于 VPC 的配置。
要取消共享您拥有的已共享 Route 53 配置文件,必须从资源共享中将其删除。您可以使用 Route 53 控制台、 AWS RAM 控制台或 AWS CLI完成此操作。
使用 Route 53 控制台取消共享您拥有的共享 Route 53 配置文件
登录 AWS Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/
。 -
在导航窗格中,选择配置文件。
选择要取消共享的配置文件的链接名称,然后在 <配置文件名称> 页面上选择管理共享。
-
您将进入 AWS RAM 控制台,在那里您可以按照以下步骤操作:更新AWS RAM 用户指南中的资源共享。
使用控制台取消共享您拥有的共享 Route 53 配置文件 AWS RAM
请参阅《AWS RAM 用户指南》中的更新资源共享。
要取消共享您拥有的共享 Route 53 配置文件,请使用 AWS CLI
使用 disassociate-resource-share 命令。
识别共享的 Route 53 配置文件
拥有者和使用者可以使用 Route 53 控制台和 AWS CLI标识共享的 Route 53 配置文件。
使用 Route 53 控制台识别共享的 Route 53 配置文件
登录 AWS Management Console 并打开 Route 53 控制台,网址为https://console.aws.amazon.com/route53/
。 -
在导航窗格中,选择配置文件。
-
如果与您共享某个配置文件,则配置文件表中会包含“与我共享”文本。
共享配置文件后,此配置文件将在配置文件表中列示为已共享。
要识别共享的 Route 53 配置文件,请使用 AWS CLI
使用 get-profile
对共享 Route 53 配置文件的责任和权限
拥有者的权限
配置文件所有者可以查看、管理和删除配置文件资源关联,包括由使用者账户建立的资源关联。所有者可以查看和删除其所拥有的 VPC 关联。此外,只有配置文件所有者才能删除其所拥有的配置文件,这也会自动删除此配置文件的所有资源关联。
使用者的权限
共享配置文件使用者的默认权限为只读权限。凭借只读权限,他们可以查看关联的资源并将其与之关联 VPCs,但无法管理资源关联。
所有者还可以在 AWS RAM 控制台上创建客户托管权限。有关更多信息,请参阅《AWS RAM 用户指南》中的创建和使用客户托管权限。
计费和计量
Route 53 配置文件按照 VPC 关联的数量计费。配置文件所有者负责支付使用者的 VPC 关联账单。
实例限额
配置文件的所有者和使用者具有相同的限额,但每个账户在某个区域中使用的 Route 53 配置文件数量除外。有关更多信息,请参阅 Route 53 配置文件中的配额
