分享您的VPC萊迪思資源 - Amazon VPC Lattice
必要條件分享資源停止共用資源職責和權限跨帳戶事件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

分享您的VPC萊迪思資源

Amazon VPC 萊迪思集成 AWS Resource Access Manager (AWS RAM)以啟用資源共享。 AWS RAM 是一項服務,使您能夠與其他人 AWS 帳戶 或通過共享一些VPC萊迪思資源 AWS Organizations。使用 AWS RAM,您可以透過建立資源共用來共用您擁有的資源。資源共享指定要共用的資源,以及共用它們的消費者。消費者可以包括:

  • 具體在其組織 AWS 帳戶 內部或外部 AWS Organizations。

  • AWS Organizations中組織內的組織單位。

  • 中的整個組織 AWS Organizations。

若要取得有關的更多資訊 AWS RAM,請參閱AWS RAM 使用者指南

共用VPC萊格資源的先決條件

  • 若要共用資源,您必須在 AWS 帳戶. 這表示必須在您的帳戶中配置或佈建資源。您無法共享已與您共享的資源。

  • 若要與中的組織或組織單位共用資源 AWS Organizations,您必須啟用與共用 AWS Organizations。如需詳細資訊,請參閱《AWS RAM 使用指南》AWS Organizations中的「啟用資源共」。

分享VPC萊迪思資源

若要共用資源,請先使用建立資源共用 AWS Resource Access Manager。資源共用指定要共用的資源、共用資源的用戶,以及主參與者可以執行的動作。

當您與其他帳戶共用您擁有的VPC萊迪思資源時 AWS 帳戶,您可以啟用這些帳戶將其資源與您帳戶中的資源建立關聯。當您針對共用資源建立關聯時,我們會在資源擁有者帳戶和建立關聯的帳戶中產生 Amazon 資源名稱 (ARN)。因此,資源擁有者和建立關聯的帳號都可以刪除關聯。

如果您是組織中的一員, AWS Organizations 且已啟用組織內的共用功能,則組織中的取用者會自動獲得共用資源的存取權。否則,取用者會收到加入資源共用的邀請,並在接受邀請後授予共用資源的存取權。

考量事項

  • 您可以共享兩種類型的VPC萊迪思資源:服務網絡和服務。

  • 您可以與任何人共享您的VPC萊迪思資源 AWS 帳戶。

  • 您無法與個別IAM使用者和角色共用您的VPC萊迪思資源。

  • VPC萊迪思同時支援服務網路和服務的客戶管理權限。

分享您使用VPC萊迪思控制台擁有的資源

  1. 在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/

  2. 在功能窗格的 [VPC萊迪思] 下,選擇 [服務] 或 [服務網路]。

  3. 選擇要開啟其詳細資料頁面的資源名稱,然後從 [共用] 索引標籤中選擇 [服務] 或 [用服務網路]。

  4. 從「資 AWS RAM 源共用」中選擇資源共用率。若要建立資源共用,請選擇 [在RAM主控台中建立資源共用]

  5. 選擇共用服務共用服務網路

使用 AWS RAM 主控台共用您擁有的資源

請使用《使用AWS RAM 者指南》中所述的建立資源共用中所述的程序。

若要共用您所擁有的資源,請使用 AWS CLI

使用指associate-resource-share令。

停止共享VPC萊迪思資源

若要停止共用您擁有的VPC萊迪思資源,您必須將其從資源共用中移除。停止共用資源後,現有的關聯仍會持續存在。不允許與先前共用資源的新關聯。當資源擁有者或關聯擁有者刪除關聯時,會從這兩個帳號中刪除該關聯。如果帳號擁有者想要離開資源共用,則必須要求資源共用的擁有者移除該帳號。

若要停止共用您使用VPC萊迪思主控台所擁有的資源

  1. 在打開 Amazon VPC 控制台https://console.aws.amazon.com/vpc/

  2. 在功能窗格的 [VPC萊迪思] 下,選擇 [服務] 或 [服務網路]。

  3. 選擇要開啟其詳細資訊頁面的資源名稱。

  4. 在 [用] 索引標籤上,選取資源共用的核取方塊,然後選擇 [移除]。

若要停止使用 AWS RAM 主控台共用您擁有的資源

請參閱《AWS RAM 使用指南》中的更新資源共

若要停止共用您所擁有的資源,請使用 AWS CLI

使用指disassociate-resource-share令。

職責和權限

使用共用VPC萊迪思資源時,下列職責與權限適用。

資源擁有者

  • 服務網路擁有者無法修改取用者所建立的服務。

  • 服務網路擁有者無法刪除取用者所建立的服務。

  • 服務網路擁有者可以描述服務網路的所有服務關聯。

  • 服務網路擁有者可以取消與服務網路相關聯的任何服務的關聯,無論是誰建立關聯。

  • 服務網路擁有者可以描述服務網路的所有VPC關聯。

  • 服務網絡所有者可以取消與服務網絡相關的任何VPC消費者的關聯。

  • 服務擁有者可以描述與服務的所有網路關聯。

  • 服務擁有者可以取消服務與其相關聯之任何服務網路的關聯。

  • 只有建立關聯的帳戶才能更新服務網路與VPC.

資源消費者

  • 消費者無法刪除他們未建立的服務。

  • 消費者只能取消與服務網路相關聯之服務的關聯。

  • 消費者和網路擁有者可以描述服務網路與服務之間的所有關聯。

  • 消費者無法擷取他們不擁有的服務的服務資訊。

  • 消費者可以描述與共享服務網絡的所有服務關聯。

  • 消費者可以將服務與共享服務網絡相關聯。

  • 消費者可以看到與共享服務網絡的所有VPC關聯。

  • 消費者可以將 a VPC 與共享服務網絡相關聯。

  • 消費者只能取消與服務網路VPCs相關聯的關聯。

  • 共用服務的消費者無法將服務與他們不擁有的服務網路產生關聯。

  • 共享服務網絡的消費者無法關聯他們不擁有的VPC或服務。

  • 消費者可以描述與他們共享的服務或服務網絡。

  • 如果兩個資源都與他們共享,則消費者無法關聯兩個資源。

跨帳戶事件

當資源擁有者和取用者對共用資源執行動作時,這些動作會記錄為中 AWS CloudTrail的跨帳號事件。

CreateServiceNetworkServiceAssociationBySharee

當資源取用者呼叫共用資源時,傳送給資源CreateServiceNetworkServiceAssociation擁有者。如果呼叫者擁有服務,則會將事件傳送給服務網路的擁有者。如果呼叫者擁有服務網路,則會將事件傳送給服務的擁有者。

CreateServiceNetworkVpcAssociationBySharee

當資源消費者CreateServiceNetworkVpcAssociation使用共用服務網路呼叫時,傳送給資源擁有者。

DeleteServiceNetworkServiceAssociationByOwner

當資源擁有者DeleteServiceNetworkServiceAssociation使用共用資源呼叫時,傳送給關聯擁有者。如果呼叫者擁有服務,則會將事件傳送給服務網路關聯的擁有者。如果呼叫者擁有服務網路,則會將事件傳送給服務關聯的擁有者。

DeleteServiceNetworkServiceAssociationBySharee

當資源取用者呼叫共用資源時,傳送給資源DeleteServiceNetworkServiceAssociation擁有者。如果呼叫者擁有服務,則會將事件傳送給服務網路的擁有者。如果呼叫者擁有服務網路,則會將事件傳送給服務的擁有者。

DeleteServiceNetworkVpcAssociationByOwner

當資源擁有者DeleteServiceNetworkVpcAssociation使用共用服務網路呼叫時,傳送給關聯擁有者。

DeleteServiceNetworkVpcAssociationBySharee

當資源消費者DeleteServiceNetworkVpcAssociation使用共用服務網路呼叫時,傳送給資源擁有者。

GetServiceBySharee

當資源取用者GetService使用共用服務呼叫時,傳送給資源擁有者。

GetServiceNetworkBySharee

當資源消費者GetServiceNetwork使用共用服務網路呼叫時,傳送給資源擁有者。

GetServiceNetworkServiceAssociationBySharee

當資源取用者呼叫共用資源時,傳送給資源GetServiceNetworkServiceAssociation擁有者。如果呼叫者擁有服務,則會將事件傳送給服務網路的擁有者。如果呼叫者擁有服務網路,則會將事件傳送給服務的擁有者。

GetServiceNetworkVpcAssociationBySharee

當資源消費者GetServiceNetworkVpcAssociation使用共用服務網路呼叫時,傳送給資源擁有者。

以下是事件的範例項CreateServiceNetworkServiceAssociationBySharee目。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-04-27T17:12:46Z",
    "eventSource": "vpc-lattice.amazonaws.com",
    "eventName": "CreateServiceNetworkServiceAssociationBySharee",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "vpc-lattice.amazonaws.com",
    "userAgent": "ec2.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "callerAccountId": "111122223333"
    },
    "requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
    "eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
            "ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}