共享您的 VPC Lattice 资源 - Amazon VPC Lattice

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

共享您的 VPC Lattice 资源

Amazon VPC Lattice 与 AWS Resource Access Manager(AWS RAM)集成,实现资源共享。AWS RAM 是一项服务,使您能够与其他 AWS 账户 或通过 AWS Organizations 共享一些 VPC Lattice 资源。利用 AWS RAM,您可通过创建资源共享来共享您拥有的资源。资源共享指定要共享的资源以及与之共享资源的使用者。使用者可包括:

  • AWS Organizations 中其组织内部或外部的特定 AWS 账户。

  • AWS Organizations 中其组织内部的组织单元。

  • AWS Organizations 中的整个组织。

有关 AWS RAM 的更多信息,请参阅《AWS RAM 用户指南》。

共享 VPC Lattice 资源的先决条件

  • 要共享资源,您必须在 AWS 账户 中拥有该资源。这意味着必须在您的账户中分配或预置资源。您无法共享已与您共享的资源。

  • 要与您的组织或 AWS Organizations 内的组织单元共享资源,您必须允许与 AWS Organizations 共享。有关更多信息,请参阅《AWS RAM 用户指南》中的允许在 AWS Organizations 内共享资源

共享 VPC Lattice 资源

要共享资源,先使用 AWS Resource Access Manager 创建资源共享。资源共享指定了要共享的资源、共享资源的使用者,以及主体可以执行的操作。

当您与其他 AWS 账户 共享您拥有的 VPC Lattice 资源时,您可以让这些账户将其资源与您账户中的资源关联。当您针对共享资源创建关联时,我们在资源所有者账户中生成一个 Amazon 资源名称(ARN),并在创建该关联的账户中添加一个 ARN。这样,资源所有者和创建关联的账户都可以删除关联。

如果您属于 AWS Organizations 组织内的某个组织,并启用了组织内共享,则组织中的使用者将自动获得对共享资源的访问权限。否则,使用者将会收到加入资源共享的邀请,并在接受邀请后为其授予共享资源的访问权限。

注意事项
  • 您可以共享两种类型的 VPC Lattice 资源:服务网络和服务。

  • 您可以与任何 AWS 账户 共享您的 VPC Lattice 资源。

  • 您不能与单个 IAM 用户和角色共享 VPC Lattice 资源。

  • VPC Lattice 支持服务网络和服务的客户管理权限。

要使用 VPC Lattice 控制台共享您拥有的资源
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中的 VPC Lattice 下,选择服务服务网络

  3. 选择资源名称以打开其详细信息页面,然后从共享选项卡中选择共享服务共享服务网络

  4. 资源共享中选择 AWS RAM 资源共享。要创建资源共享,请选择在 RAM 控制台中创建资源共享

  5. 选择共享服务共享服务网络

要使用 AWS RAM 控制台共享您拥有的资源

按照《AWS RAM 用户指南》中的创建资源共享中描述的过程操作。

要使用 AWS CLI 共享您拥有的资源

使用 associate-resource-share 命令。

停止共享 VPC Lattice 资源

要停止共享您拥有的 VPC Lattice,必须将其从资源共享中删除。停止共享资源后,现有关联仍然存在。不允许与先前共享的资源建立新关联。当资源所有者或关联所有者删除关联时,该关联将从两个账户中删除。如果帐户所有者希望保留资源共享,则必须要求资源共享的所有者删除该账户。

要使用 VPC Lattice 控制台停止共享您拥有的资源
  1. 通过以下网址打开 Amazon VPC 控制台:https://console.aws.amazon.com/vpc/

  2. 在导航窗格中的 VPC Lattice 下,选择服务服务网络

  3. 选择资源名称以打开其详细信息页面。

  4. 共享选项卡上,选中资源共享的复选框,然后选择删除

要使用 AWS RAM 控制台停止共享您拥有的资源

请参阅《AWS RAM 用户指南》中的更新资源共享

要使用 AWS CLI 停止共享您拥有的资源

使用 disassociate-resource-share 命令。

责任和权限

使用共享 VPC Lattice 资源时,适用以下责任和权限。

资源所有者

  • 服务网络所有者不能修改使用者创建的服务。

  • 服务网络所有者不能删除使用者创建的服务。

  • 服务网络所有者可以描述服务网络的所有服务关联。

  • 服务网络所有者可以解除与服务网络关联的任何服务的关联,无论创建关联的人员为何。

  • 服务网络所有者可以描述服务网络的所有 VPC 关联。

  • 服务网络所有者可以解除使用者与服务网络关联的任何 VPC 的关联。

  • 服务所有者可以描述与服务的所有网络关联。

  • 服务所有者可将服务从与服务关联的任何服务网络中取消关联

  • 只有创建关联的账户才能更新服务网络和 VPC 之间的关联。

资源使用者

  • 使用者无法删除非其创建的服务。

  • 使用者只能解除与服务网络关联的服务关联。

  • 使用者和网络所有者可以描述服务网络和服务之间的所有关联。

  • 使用者无法检索非其拥有的服务信息。

  • 使用者可以描述与共享服务网络的所有服务关联。

  • 使用者可以将服务与共享服务网络关联。

  • 使用者可以看到与共享服务网络的所有 VPC 关联。

  • 使用者可以将 VPC 与共享服务网络关联。

  • 使用者只能解除与服务网络关联的 VPC 关联。

  • 共享服务的使用者无法将服务与非其拥有的服务网络关联。

  • 共享服务网络的使用者无法关联非其拥有的 VPC 或服务。

  • 使用者可以描述与其共享的服务或服务网络。

  • 如果两个资源都与使用者共享,则使用者无法关联这两个资源。

跨账户事件

当资源所有者和使用者对共享资源执行操作时,这些操作将作为跨账户事件记录在 AWS CloudTrail 中。

CreateServiceNetworkServiceAssociationBySharee

当资源使用者使用共享资源调用 CreateServiceNetworkServiceAssociation 时,发送给资源所有者。如果调用方拥有该服务,则事件将发送给服务网络所有者。如果调用方拥有该服务网络,则事件将发送给服务所有者。

CreateServiceNetworkVpcAssociationBySharee

当资源使用者使用共享服务网络调用 CreateServiceNetworkVpcAssociation 时,发送给资源所有者。

DeleteServiceNetworkServiceAssociationByOwner

当资源所有者使用共享资源调用 DeleteServiceNetworkServiceAssociation 时,发送给关联所有者。如果调用方拥有该服务,则事件将发送给服务网络关联所有者。如果调用方拥有该服务网络,则事件将发送给服务关联所有者。

DeleteServiceNetworkServiceAssociationBySharee

当资源使用者使用共享资源调用 DeleteServiceNetworkServiceAssociation 时,发送给资源所有者。如果调用方拥有该服务,则事件将发送给服务网络所有者。如果调用方拥有该服务网络,则事件将发送给服务所有者。

DeleteServiceNetworkVpcAssociationByOwner

当资源所有者使用共享服务网络调用 DeleteServiceNetworkVpcAssociation 时,发送给关联所有者。

DeleteServiceNetworkVpcAssociationBySharee

当资源使用者使用共享服务网络调用 DeleteServiceNetworkVpcAssociation 时,发送给资源所有者。

GetServiceBySharee

当资源使用者使用共享服务调用 GetService 时,发送给资源所有者。

GetServiceNetworkBySharee

当资源使用者使用共享服务网络调用 GetServiceNetwork 时,发送给资源所有者。

GetServiceNetworkServiceAssociationBySharee

当资源使用者使用共享资源调用 GetServiceNetworkServiceAssociation 时,发送给资源所有者。如果调用方拥有该服务,则事件将发送给服务网络所有者。如果调用方拥有该服务网络,则事件将发送给服务所有者。

GetServiceNetworkVpcAssociationBySharee

当资源使用者通过共享服务网络调用 GetServiceNetworkVpcAssociation 时,发送给资源所有者。

以下是 CreateServiceNetworkServiceAssociationBySharee 事件的示例条目。

{ "eventVersion": "1.08", "userIdentity": { "type": "Unknown" }, "eventTime": "2023-04-27T17:12:46Z", "eventSource": "vpc-lattice.amazonaws.com", "eventName": "CreateServiceNetworkServiceAssociationBySharee", "awsRegion": "us-west-2", "sourceIPAddress": "vpc-lattice.amazonaws.com", "userAgent": "ec2.amazonaws.com", "requestParameters": null, "responseElements": null, "additionalEventData": { "callerAccountId": "111122223333" }, "requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b", "eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd", "readOnly": false, "resources": [ { "accountId": "123456789012", "type": "AWS::VpcLattice::ServiceNetworkServiceAssociation", "ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE" } ], "eventType": "AwsServiceEvent", "managementEvent": true, "recipientAccountId": "123456789012", "eventCategory": "Management" }