Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erste Schritte mit AWS RAM
<a name="getting-started"></a>

Mit können Sie Ressourcen AWS Resource Access Manager, die Sie besitzen, mit anderen Personen teilen AWS-Konten. Wenn Ihr Konto von verwaltet wird AWS Organizations, können Sie Ressourcen auch mit anderen Konten in Ihrer Organisation teilen. Sie können auch Ressourcen verwenden, die von anderen mit Ihnen geteilt wurden AWS-Konten. 

Wenn Sie die gemeinsame Nutzung innerhalb nicht aktivieren AWS Organizations, können Sie Ressourcen nicht mit Ihrer Organisation oder mit den Organisationseinheiten (OU) in Ihrer Organisation teilen. Sie können Ressourcen jedoch weiterhin für einzelne Personen AWS-Konten in Ihrer Organisation gemeinsam nutzen. Bei [unterstützten Ressourcentypen](shareable.md) können Sie Ressourcen auch für einzelne AWS Identity and Access Management (IAM-) Rollen oder Benutzer in Ihrer Organisation gemeinsam nutzen. In diesem Fall werden diese Prinzipale so behandelt, als wären sie externe Konten und nicht als Teil Ihrer Organisation. Sie erhalten eine Einladung, der Resource Share beizutreten, und müssen die Einladung annehmen, um Zugriff auf die gemeinsam genutzten Ressourcen zu erhalten.

**Topics**
+ [Begriffe und Konzepte](getting-started-terms-and-concepts.md)
+ [Teilen Sie Ihre Ressourcen](getting-started-sharing.md)
+ [Nutzung gemeinsam genutzter Ressourcen](getting-started-shared.md)

# Begriffe und Konzepte für AWS RAM
<a name="getting-started-terms-and-concepts"></a>

Die folgenden Konzepte erklären, wie Sie AWS Resource Access Manager (AWS RAM) verwenden können, um Ihre Ressourcen gemeinsam zu nutzen.

## Ressourcenfreigabe
<a name="term-resource-share"></a>

Sie nutzen Ressourcen gemeinsam, AWS RAM indem Sie eine *Ressourcenfreigabe* erstellen. Eine Ressourcenfreigabe besteht aus den folgenden drei Elementen:
+ Eine Liste mit einer oder mehreren AWS Ressourcen, die gemeinsam genutzt werden sollen.
+ Eine Liste mit einem oder mehreren [Prinzipalen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying), denen Zugriff auf die Ressourcen gewährt wird.
+ Eine [verwaltete Berechtigung](#term-managed-permission) für jeden Ressourcentyp, den Sie in die Freigabe aufnehmen. Jede verwaltete Berechtigung gilt für alle Ressourcen dieses Typs in dieser Ressourcenfreigabe.

Nachdem Sie sie AWS RAM zum Erstellen einer Ressourcenfreigabe verwendet haben, kann den in der Ressourcenfreigabe angegebenen Prinzipalen Zugriff auf die Ressourcen der Freigabe gewährt werden.
+ Wenn Sie das AWS RAM Teilen mit aktivieren und Ihre Prinzipale AWS Organizations, für die Sie die gemeinsame Nutzung nutzen, derselben Organisation angehören wie das Freigabekonto, können diese Prinzipale Zugriff erhalten, sobald ihr Kontoadministrator ihnen mithilfe einer AWS Identity and Access Management (IAM-) Berechtigungsrichtlinie Berechtigungen zur Nutzung der Ressourcen erteilt.
+ Wenn Sie das AWS RAM Teilen mit Organizations nicht aktivieren, können Sie Ressourcen trotzdem für AWS-Konten Personen in Ihrer Organisation freigeben. Der Administrator des Benutzerkontos erhält eine Einladung, der Resource Share beizutreten. Er muss die Einladung annehmen, bevor die in der Resource Share angegebenen Principals auf die gemeinsam genutzten Ressourcen zugreifen können.
+ Sie können Inhalte auch mit Konten außerhalb Ihrer Organisation teilen, sofern der Ressourcentyp dies unterstützt. Der Administrator des Benutzerkontos erhält eine Einladung zur Teilnahme an der Ressourcenfreigabe. Er muss die Einladung annehmen, bevor die in der Ressourcenfreigabe angegebenen Prinzipale auf die gemeinsam genutzten Ressourcen zugreifen können. Informationen dazu, welche Ressourcentypen diese Art der gemeinsamen Nutzung unterstützen, finden Sie [Gemeinsam nutzbare Ressourcen AWS](shareable.md) in der Spalte **Kann Inhalte mit Konten außerhalb der Organisation teilen**.

## Konto teilen
<a name="term-sharing-account"></a>

Das *Freigabekonto* enthält die Ressource, die gemeinsam genutzt wird und in der der AWS RAM AWS Administrator mithilfe von AWS RAM. 

Ein AWS RAM Administrator ist ein IAM-Prinzipal, der berechtigt ist, Ressourcenfreigaben in der AWS-Konto zu erstellen und zu konfigurieren. Da AWS RAM den Ressourcen in einer Ressourcenfreigabe eine ressourcenbasierte Richtlinie zugewiesen wird, muss der AWS RAM Administrator auch über die erforderlichen Berechtigungen verfügen, um den `PutResourcePolicy` Vorgang AWS-Service für jeden Ressourcentyp, der in einer Ressourcenfreigabe enthalten ist, aufrufen zu können.

## Prinzipale werden konsumiert
<a name="term-consuming-account"></a>

Das *verbrauchende Konto* ist das Konto AWS-Konto , für das eine Ressource gemeinsam genutzt wird. Bei der Ressourcenfreigabe kann ein ganzes Konto als Hauptkonto oder für einige Ressourcentypen einzelne Rollen oder Benutzer im Konto angegeben werden. Informationen darüber, welche Ressourcentypen diese Art der gemeinsamen Nutzung unterstützen, finden Sie in der Spalte **Kann gemeinsam mit IAM-Rollen [Gemeinsam nutzbare Ressourcen AWS](shareable.md) und -Benutzern verwendet** werden.

AWS RAM unterstützt auch Service Principals als Nutzer von gemeinsam genutzten Ressourcen. Informationen darüber, welche Ressourcentypen diese Art der gemeinsamen Nutzung unterstützen, finden Sie [Gemeinsam nutzbare Ressourcen AWS](shareable.md) in der Spalte **Kann gemeinsam mit Service Principals genutzt** werden.

 Die Prinzipale des Benutzerkontos können nur die Aktionen ausführen, die mit den ***beiden*** folgenden Berechtigungen zulässig sind:
+ Die verwalteten Berechtigungen, die mit der Ressource verknüpft sind, werden gemeinsam genutzt. Diese geben die *maximalen* Berechtigungen an, die den Prinzipalen im verbrauchenden Konto gewährt werden können.
+ Die identitätsbasierten IAM-Richtlinien, die einzelnen Rollen oder Benutzern vom IAM-Administrator des Benutzerkontos zugewiesen wurden. Diese Richtlinien müssen `Allow` Zugriff auf bestimmte Aktionen und auf den [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) einer Ressource im Sharing-Konto gewähren.

AWS RAM unterstützt die folgenden IAM-Prinzipaltypen als Nutzer von gemeinsam genutzten Ressourcen:
+ **Eine weitere AWS-Konto** Möglichkeit: Durch die gemeinsame Nutzung von Ressourcen werden die im Sharing-Konto enthaltenen Ressourcen dem Konto zur Verfügung gestellt, das sie nutzt. 
+ **Einzelne IAM-Rollen oder Benutzer in einem anderen Konto** — Einige Ressourcentypen unterstützen die direkte gemeinsame Nutzung mit einzelnen IAM-Rollen oder -Benutzern. Geben Sie diesen Prinzipaltyp anhand seines ARN an.
  + **IAM-Rolle** — `arn:aws:iam::123456789012:role/rolename`
  + **IAM-Benutzer** — `arn:aws:iam::123456789012:user/username`
+ **Service Principal** — Geben Sie eine Ressource für einen AWS Service frei, um dem Service Zugriff auf eine Resource Share zu gewähren. Durch die gemeinsame Nutzung des AWS Service Principal kann ein Service in Ihrem Namen Maßnahmen ergreifen, um den betrieblichen Aufwand zu verringern. 

  Um die gemeinsame Nutzung mit einem Dienstprinzipal zu ermöglichen, **aktivieren Sie die gemeinsame Nutzung für alle Benutzer, und wählen Sie dann unter Prinzipaltyp** auswählen die Option **Dienstprinzipal** aus der Dropdownliste aus. Geben Sie den Namen des Dienstprinzipals im folgenden Format an:
  + `service-id.amazonaws.com`

  Um das Risiko eines verwirrten Stellvertreters zu minimieren, zeigt die Ressourcenrichtlinie die Konto-ID des Ressourcenbesitzers im `aws:SourceAccount` Bedingungsschlüssel an.
+ **Konten in einer Organisation** — Wenn das Sharing-Konto von verwaltet wird AWS Organizations, kann das Resource Sharing die ID der Organisation angeben, die mit allen Konten in der Organisation geteilt werden soll. Die Ressourcenfreigabe kann alternativ eine Organisationseinheit-ID (OU) angeben, die mit allen Konten in dieser Organisationseinheit gemeinsam genutzt werden soll. Ein Sharing-Konto kann nur mit seiner eigenen Organisation oder OU IDs innerhalb seiner eigenen Organisation geteilt werden. Geben Sie Konten in einer Organisation anhand des ARN der Organisation oder der Organisationseinheit an.
  + **Alle Konten in einer Organisation** — Im Folgenden finden Sie ein Beispiel für einen ARN einer Organisation in AWS Organizations:

    `arn:aws:organizations::123456789012:organization/o-<orgid>`
  + **Alle Konten in einer Organisationseinheit** — Im Folgenden finden Sie ein Beispiel für einen ARN einer OU-ID:

    `arn:aws:organizations::123456789012:organization/o-<orgid>/ou-<rootid>-<ouid>`
**Wichtig**  
Wenn Sie Daten mit einer Organisation oder einer Organisationseinheit teilen und dieser Bereich auch das Konto umfasst, dem die Ressourcenfreigabe gehört, erhalten alle Prinzipale im Freigabekonto automatisch Zugriff auf die Ressourcen in der Freigabe. Der gewährte Zugriff wird durch die verwalteten Berechtigungen definiert, die mit der Freigabe verknüpft sind. Dies liegt daran, dass die ressourcenbasierte Richtlinie, die AWS RAM jeder Ressource in der Freigabe zugewiesen ist, verwendet. `"Principal": "*"` Weitere Informationen finden Sie unter [Auswirkungen der Verwendung "Principal": "\$1" in einer ressourcenbasierten Richtlinie](#term-principal-star).  
Principals in den anderen Accounts, die diese Nutzung nutzen, erhalten nicht sofort Zugriff auf die Ressourcen der Aktie. Die Administratoren der anderen Konten müssen zunächst identitätsbasierte Berechtigungsrichtlinien an die entsprechenden Principals anhängen. Diese Richtlinien müssen `Allow` Zugriff auf die einzelnen Ressourcen im ARNs Resource Share gewähren. Die Berechtigungen in diesen Richtlinien dürfen die in der verwalteten Berechtigung für die Ressourcenfreigabe angegebenen Berechtigungen nicht überschreiten.

## Ressourcenbasierte Richtlinie
<a name="term-resource-based-policy"></a>

Ressourcenbasierte Richtlinien sind JSON-Textdokumente, die die IAM-Richtliniensprache implementieren. Im Gegensatz zu identitätsbasierten Richtlinien, die Sie dem Prinzipal zuordnen, z. B. einer IAM-Rolle oder einem IAM-Benutzer, fügen Sie der Ressource ressourcenbasierte Richtlinien hinzu. AWS RAM erstellt in Ihrem Namen ressourcenbasierte Richtlinien auf der Grundlage der Informationen, die Sie für Ihren Resource Share angeben. Sie müssen ein `Principal` Richtlinienelement angeben, das festlegt, wer auf die Ressource zugreifen kann. *Weitere Informationen finden Sie unter [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) im IAM-Benutzerhandbuch.*

Die von generierten ressourcenbasierten Richtlinien AWS RAM werden zusammen mit allen anderen IAM-Richtlinientypen bewertet. Dazu gehören alle identitätsbasierten IAM-Richtlinien, die den Prinzipalen zugewiesen sind, die versuchen, auf die Ressource zuzugreifen, sowie die Dienststeuerungsrichtlinien (SCPs) für diese Richtlinien, die möglicherweise für die gelten. AWS Organizations AWS-Konto Ressourcenbasierte Richtlinien, die von AWS RAM generiert wurden, unterliegen derselben Richtlinienbewertungslogik wie alle anderen IAM-Richtlinien. Vollständige Informationen zur Richtlinienbewertung und zur Bestimmung der daraus resultierenden Berechtigungen finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.

AWS RAM bietet eine einfache und sichere Nutzung von Ressourcen, indem easy-to-use abstrakte, ressourcenbasierte Richtlinien bereitgestellt werden. 

Für die Ressourcentypen, die ressourcenbasierte Richtlinien unterstützen, erstellt und verwaltet die ressourcenbasierten Richtlinien AWS RAM automatisch für Sie. AWS RAM Erstellt für eine bestimmte Ressource die ressourcenbasierte Richtlinie, indem es die Informationen aus allen Ressourcenfreigaben kombiniert, zu denen diese Ressource gehört. Stellen Sie sich zum Beispiel eine Amazon SageMaker AI-Pipeline vor, die Sie mithilfe von zwei verschiedenen Ressourcenfreigaben gemeinsam nutzen AWS RAM und in diese aufnehmen. Sie könnten eine Ressourcenfreigabe verwenden, um Ihrer gesamten Organisation schreibgeschützten Zugriff zu gewähren. Sie könnten dann die andere Ressourcenfreigabe verwenden, um nur einem einzigen SageMaker Konto KI-Ausführungsberechtigungen zu gewähren. AWS RAM kombiniert diese beiden unterschiedlichen Berechtigungssätze automatisch zu einer einzigen Ressourcenrichtlinie mit mehreren Anweisungen. Anschließend wird die kombinierte ressourcenbasierte Richtlinie an die Pipeline-Ressource angehängt. Sie können diese zugrunde liegende Ressourcenrichtlinie anzeigen, indem Sie den Vorgang aufrufen. [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html) AWS-Services verwenden Sie dann diese ressourcenbasierte Richtlinie, um jeden Prinzipal zu autorisieren, der versucht, eine Aktion mit der gemeinsam genutzten Ressource auszuführen. 

Sie können die ressourcenbasierten Richtlinien zwar manuell erstellen und sie per Anruf an Ihre Ressourcen anhängen`PutResourcePolicy`, wir empfehlen Ihnen jedoch, sie zu verwenden, AWS RAM da sie die folgenden Vorteile bietet:
+ **Auffindbarkeit für Share-Consumer** — Wenn Sie Ressourcen gemeinsam nutzen AWS RAM, können Benutzer alle Ressourcen, die mit ihnen geteilt wurden, direkt in der Konsole und in den API-Vorgängen des Resource Ownering-Dienstes sehen, als ob sich diese Ressourcen direkt im Konto des Benutzers befinden würden. Wenn Sie beispielsweise ein AWS CodeBuild Projekt mit einem anderen Konto teilen, können Benutzer des Benutzerkontos das Projekt in der CodeBuild Konsole und in den Ergebnissen der ausgeführten CodeBuild API-Operationen sehen. Ressourcen, die durch direktes Anhängen einer ressourcenbasierten Richtlinie gemeinsam genutzt werden, sind auf diese Weise nicht sichtbar. Stattdessen müssen Sie die Ressource anhand ihres ARN ermitteln und explizit darauf verweisen.
+ **Verwaltbarkeit für Share-Inhaber** — Wenn Sie Ressourcen gemeinsam nutzen AWS RAM, können Ressourcenbesitzer im Sharing-Konto zentral sehen, welche anderen Konten Zugriff auf ihre Ressourcen haben. Wenn Sie eine Ressource mithilfe einer ressourcenbasierten Richtlinie gemeinsam nutzen, können Sie die Konten, die sie verbrauchen, nur sehen, wenn Sie die Richtlinie für einzelne Ressourcen in der entsprechenden Servicekonsole oder API überprüfen.
+ **Effizienz** — Wenn Sie Ressourcen gemeinsam nutzen AWS RAM, können Sie mehrere Ressourcen gemeinsam nutzen und sie als Einheit verwalten. Für Ressourcen, die nur mithilfe von ressourcenbasierten Richtlinien gemeinsam genutzt werden, müssen für jede Ressource, die Sie gemeinsam nutzen, individuelle Richtlinien gelten.
+ **Einfachheit** — Mit AWS RAM müssen Sie die JSON-basierte IAM-Richtliniensprache nicht verstehen. AWS RAM bietet ready-to-use AWS verwaltete Berechtigungen, aus denen Sie wählen können, um sie an Ihre Ressourcenfreigaben anzuhängen.

Mithilfe AWS RAM von können Sie sogar einige Ressourcentypen gemeinsam nutzen, die noch keine ressourcenbasierten Richtlinien unterstützen. Generiert für solche Ressourcentypen AWS RAM automatisch eine ressourcenbasierte Richtlinie als Darstellung der tatsächlichen Berechtigungen. Benutzer können sich diese Darstellung ansehen, indem sie anrufen. [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html) Dies beinhaltet die folgenden Ressourcentypen:
+ Amazon Aurora — DB-Cluster
+ Amazon EC2 — Kapazitätsreservierungen und dedizierte Hosts
+ AWS License Manager — Lizenzkonfigurationen
+ AWS Outposts — Routentabellen, Außenposten und Standorte für lokale Gateways
+ Amazon Route 53 — Speditionsregeln
+ Amazon Virtual Private Cloud — Kundeneigene IPv4 Adressen, Präfixlisten, Subnetze, Traffic Mirror-Ziele, Transit-Gateways und Transit-Gateway-Multicast-Domains

### Beispiele für generierte ressourcenbasierte Richtlinien AWS RAM
<a name="rbp-examples"></a>

Wenn Sie eine EC2 Image Builder Builder-Image-Ressource mit einem einzelnen ***Konto*** gemeinsam nutzen, AWS RAM generiert es eine Richtlinie, die wie das folgende Beispiel aussieht, und fügt sie allen Bildressourcen hinzu, die in der Ressourcenfreigabe enthalten sind.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages"
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}
```

------

Wenn Sie eine EC2 Image Builder Builder-Image-Ressource mit einer ***IAM-Rolle oder einem anderen Benutzer*** gemeinsam nutzen AWS-Konto, AWS RAM generiert es eine Richtlinie, die wie im folgenden Beispiel aussieht, und hängt sie an alle Image-Ressourcen an, die in der Ressourcenfreigabe enthalten sind.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/MySampleRole"
            },
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages"
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}
```

------

Wenn Sie eine EC2 Image Builder Builder-Image-Ressource mit allen Konten in einer Organisation oder mit den Konten einer Organisationseinheit gemeinsam nutzen, AWS RAM generiert sie eine Richtlinie, die wie im folgenden Beispiel aussieht, und hängt sie an alle Image-Ressourcen an, die in der Ressourcenfreigabe enthalten sind.

**Anmerkung**  
Diese Richtlinie verwendet das `"Condition"` Element `"Principal": "*"` und verwendet es dann, um Berechtigungen auf Identitäten zu beschränken, die den angegebenen entsprechen. `PrincipalOrgID` Weitere Informationen finden Sie unter [Auswirkungen der Verwendung "Principal": "\$1" in einer ressourcenbasierten Richtlinie](#term-principal-star).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages"
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-123456789"
                }
            }
        }
    ]
}
```

------

### Auswirkungen der Verwendung "Principal": "\$1" in einer ressourcenbasierten Richtlinie
<a name="term-principal-star"></a>

Wenn Sie `"Principal": "*"` in eine ressourcenbasierte Richtlinie einbeziehen, gewährt die Richtlinie Zugriff auf alle IAM-Prinzipale in dem Konto, das die Ressource enthält, vorbehaltlich aller Einschränkungen, die durch ein `Condition` Element, sofern vorhanden, auferlegt werden. Explizite `Deny` Aussagen in allen Richtlinien, die für den aufrufenden Prinzipal gelten, haben Vorrang vor den durch diese Richtlinie gewährten Berechtigungen. Eine ***implizite*** `Deny` (d. h. das Fehlen einer *expliziten* Angabe`Allow`) in allen geltenden Identitäts-, Berechtigungsgrenzen- oder Sitzungsrichtlinien führt jedoch ***nicht*** dazu, dass den Prinzipalen durch eine `Deny` solche ressourcenbasierte Richtlinie Zugriff auf eine Aktion gewährt wird.

Wenn dieses Verhalten für Ihr Szenario nicht erwünscht ist, können Sie dieses Verhalten einschränken, indem Sie einer Identitätsrichtlinie, einer Berechtigungsgrenze oder einer Sitzungsrichtlinie eine ***explizite*** `Deny` Anweisung hinzufügen, die sich auf die entsprechenden Rollen und Benutzer auswirkt. 

## Verwaltete Berechtigungen
<a name="term-managed-permission"></a>

Verwaltete Berechtigungen definieren, welche Aktionen Prinzipale unter welchen Bedingungen für unterstützte Ressourcentypen in einer Ressourcenfreigabe ausführen können. Wenn Sie eine Ressourcenfreigabe erstellen, müssen Sie angeben, welche verwalteten Berechtigungen für jeden in der Ressourcenfreigabe enthaltenen Ressourcentyp verwendet werden sollen. In einer verwalteten Berechtigung werden die Gruppen `actions` und *Bedingungen* aufgeführt, die Prinzipale mit der gemeinsam genutzten AWS RAM Ressource ausführen können.

Sie können jedem Ressourcentyp in einer Ressourcenfreigabe nur eine verwaltete Berechtigung zuordnen. Sie können keine Ressourcenfreigabe erstellen, bei der einige Ressourcen eines bestimmten Typs eine verwaltete Berechtigung und andere Ressourcen desselben Typs eine andere verwaltete Berechtigung verwenden. Dazu müssten Sie zwei verschiedene Ressourcenfreigaben erstellen und die Ressourcen auf diese aufteilen, sodass jeder Gruppe unterschiedliche verwaltete Berechtigungen zugewiesen werden. Es gibt zwei verschiedene Arten von verwalteten Berechtigungen:

**AWS verwaltete Berechtigungen**  
AWS verwaltete Berechtigungen werden von Kunden erstellt und verwaltet AWS und gewähren Berechtigungen für gängige Kundenszenarien. AWS RAM definiert mindestens eine AWS verwaltete Berechtigung für jeden unterstützten Ressourcentyp. Einige Ressourcentypen unterstützen mehr als eine AWS verwaltete Berechtigung, wobei eine verwaltete Berechtigung als AWS Standard festgelegt ist. Sofern Sie nichts anderes angeben, ist die [standardmäßige AWS verwaltete Berechtigung](security-ram-permissions.md#permissions-types) zugeordnet.

**Vom Kunden verwaltete Berechtigungen**  
Kundenverwaltete Berechtigungen sind verwaltete Berechtigungen, die Sie erstellen und verwalten, indem Sie genau angeben, welche Aktionen unter welchen Bedingungen mit gemeinsam genutzten Ressourcen ausgeführt werden können AWS RAM. Sie möchten beispielsweise den Lesezugriff für Ihre Amazon VPC IP Address Manager (IPAM) -Pools einschränken, die Ihnen helfen, Ihre IP-Adressen in großem Umfang zu verwalten. Sie können kundenverwaltete Berechtigungen für Ihre Entwickler einrichten, um IP-Adressen zuzuweisen, aber nicht den IP-Adressbereich einsehen, den andere Entwicklerkonten zuweisen. Sie können sich an die bewährte Methode der geringsten Rechte halten und nur die Berechtigungen gewähren, die für die Ausführung von Aufgaben auf gemeinsam genutzten Ressourcen erforderlich sind.  
Sie definieren Ihre eigenen Berechtigungen für einen Ressourcentyp in einer gemeinsam genutzten Ressource mit der Option, Bedingungen wie [globale Kontextschlüssel und [dienstspezifische Schlüssel](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) hinzuzufügen, um die Bedingungen festzulegen, unter denen Prinzipale Zugriff auf die Ressource haben. Diese Berechtigungen können in einer oder mehreren AWS RAM Shares verwendet werden. Die vom Kunden verwalteten Berechtigungen sind regionsspezifisch.

AWS RAM verwendet verwaltete Berechtigungen als Eingabe für die Erstellung der [ressourcenbasierten Richtlinien](#term-resource-based-policy) für die Ressourcen, die Sie gemeinsam nutzen.

## Version mit verwalteten Berechtigungen
<a name="term-managed-permission-version"></a>

Jede Änderung an einer verwalteten Berechtigung wird als neue Version dieser verwalteten Berechtigung dargestellt. Die neue Version ist die Standardversion für alle neuen Ressourcenfreigaben. Für jede verwaltete Berechtigung ist immer eine Version als Standardversion festgelegt. Wenn Sie eine neue Version mit verwalteten Berechtigungen erstellen oder AWS erstellen, müssen Sie die verwalteten Berechtigungen für jede vorhandene Ressourcenfreigabe explizit aktualisieren. In diesem Schritt können Sie die Änderungen auswerten, bevor Sie sie auf Ihre Ressourcenfreigabe anwenden. Für alle neuen Ressourcenfreigaben wird automatisch die neue Version der verwalteten Berechtigungen für den entsprechenden Ressourcentyp verwendet.

**AWS Versionen mit verwalteten Berechtigungen**  
AWS verarbeitet alle Änderungen an AWS verwalteten Berechtigungen. Solche Änderungen betreffen neue Funktionen oder beheben festgestellte Mängel. Sie können nur die Standardversion mit verwalteten Berechtigungen auf Ihre Ressourcenfreigaben anwenden.

**Versionen mit vom Kunden verwalteten Berechtigungen**  
Sie kümmern sich um alle Änderungen an den vom Kunden verwalteten Berechtigungen. Sie können eine neue Standardversion erstellen, eine ältere Version als Standardversion festlegen oder Versionen löschen, die keinen Ressourcenfreigaben mehr zugeordnet sind. Jede vom Kunden verwaltete Berechtigung kann bis zu fünf Versionen haben.

Wenn Sie eine Ressourcenfreigabe erstellen oder aktualisieren, können Sie nur die Standardversion der angegebenen verwalteten Berechtigung anhängen. Weitere Informationen finden Sie unter [Aktualisierung AWS verwalteter Berechtigungen auf eine neuere Version](working-with-sharing-update-permissions.md).

# Teilen Sie Ihre AWS Ressourcen
<a name="getting-started-sharing"></a>

Gehen Sie wie folgt vor, um eine Ressource, deren Eigentümer Sie sind AWS RAM, gemeinsam zu nutzen:
+ [Aktivieren Sie die gemeinsame Nutzung von Ressourcen innerhalb AWS Organizations](#getting-started-sharing-orgs) (optional)
+ [Erstellen einer Ressourcen-Freigabe](#getting-started-sharing-create)

**Hinweise**  
Die gemeinsame Nutzung einer Ressource mit Prinzipalen außerhalb des AWS-Konto Eigentümers der Ressource hat keine Auswirkung auf die Berechtigungen oder Kontingente, die für die Ressource innerhalb des Kontos gelten, mit dem sie erstellt wurde.
AWS RAM ist ein regionaler Dienst. Die Prinzipale, mit denen Sie die Ressourcen gemeinsam nutzen, können nur auf die Ressourcenfreigaben zugreifen, AWS-Regionen in denen die Ressourcen erstellt wurden.
Bei einigen Ressourcen gelten besondere Überlegungen und Voraussetzungen für die gemeinsame Nutzung. Weitere Informationen finden Sie unter [Gemeinsam nutzbare Ressourcen AWS](shareable.md).

## Aktivieren Sie die gemeinsame Nutzung von Ressourcen innerhalb AWS Organizations
<a name="getting-started-sharing-orgs"></a>

Wenn Ihr Konto von verwaltet wird AWS Organizations, können Sie dies nutzen, um Ressourcen einfacher gemeinsam zu nutzen. Mit oder ohne Organizations kann ein Benutzer Inhalte mit einzelnen Konten teilen. Wenn sich Ihr Konto jedoch in einer Organisation befindet, können Sie Inhalte für einzelne Konten oder für alle Konten in der Organisation oder in einer Organisationseinheit freigeben, ohne jedes Konto aufzählen zu müssen.

Um Ressourcen innerhalb einer Organisation gemeinsam zu nutzen, müssen Sie zuerst die AWS RAM Konsole verwenden oder AWS Command Line Interface (AWS CLI), um das Teilen mit zu aktivieren. AWS Organizations Wenn Sie Ressourcen in Ihrer Organisation gemeinsam nutzen, sendet AWS RAM keine Einladungen an Schulleiter. Principals in Ihrer Organisation erhalten Zugriff auf gemeinsam genutzte Ressourcen, ohne Einladungen austauschen zu müssen.

Wenn Sie die gemeinsame Nutzung von Ressourcen innerhalb Ihrer Organisation aktivieren, AWS RAM wird eine dienstbezogene Rolle mit dem Namen erstellt. `AWSServiceRoleForResourceAccessManager` Diese Rolle kann nur vom AWS RAM Dienst übernommen werden und erteilt die AWS RAM Berechtigung, mithilfe der AWS verwalteten Richtlinie `AWSResourceAccessManagerServiceRolePolicy` Informationen über die Organisation abzurufen, der er angehört. 

**Anmerkung**  
Wenn Sie das Teilen mit AWS Organizations aktivieren, schränkt die gemeinsame Nutzung von Ressourcen innerhalb Ihrer Organisation standardmäßig den Zugriff auf Nutzer innerhalb derselben Organisation ein. Wenn ein Benutzerkonto die Organisation verlässt, verliert dieses Konto den Zugriff auf Ressourcen in der Ressourcenfreigabe. Diese Einschränkung gilt unabhängig davon, ob Sie Ressourcen mit einer Organisationseinheit, der gesamten Organisation oder einem einzelnen Konto in der Organisation gemeinsam nutzen.  
Für die account-to-account gemeinsame Nutzung innerhalb Ihrer Organisation können Sie den Freigabezugriff auch dann beibehalten, wenn Konten verlassen werden`RetainSharingOnAccountLeaveOrganization`, indem Sie `True` beim Erstellen einer neuen Ressourcenfreigabe die Einstellung auf einstellen. Wenn diese Einstellung aktiviert ist, wird eine Einladung an das Nutzerkonto AWS RAM gesendet (ähnlich wie beim Teilen mit externen Konten). Das Konto behält auch dann Zugriff auf gemeinsam genutzte Ressourcen, wenn es die Organisation verlässt.  
Für die `RetainSharingOnAccountLeaveOrganization` Einstellung gelten die folgenden Anforderungen und Einschränkungen:  
`allowExternalPrincipals`Muss sein `True`
Kann nur festgelegt werden, wenn neue Ressourcenfreigaben erstellt werden
Gilt nicht für die gemeinsame Nutzung mit OUs oder für die gesamte Organisation
Wenn auf gesetzt `RetainSharingOnAccountLeaveOrganization` ist`True`, können Sie Ressourcenfreigaben nicht verwenden, um Ressourcen gemeinsam zu nutzen, die [nur innerhalb einer Organisation gemeinsam genutzt werden können](shareable.html).

Wenn Sie Ressourcen nicht mehr mit Ihrer gesamten Organisation teilen müssen oder OUs können Sie die gemeinsame Nutzung von Ressourcen deaktivieren. Weitere Informationen finden Sie unter [Deaktivieren der gemeinsamen Nutzung von Ressourcen mit AWS Organizations](security-disable-sharing-with-orgs.md).

**Mindestberechtigungen**

Um die folgenden Verfahren ausführen zu können, müssen Sie sich als Principal im Verwaltungskonto der Organisation anmelden, das über die folgenden Berechtigungen verfügt:
+ `ram:EnableSharingWithAwsOrganization`
+ `iam:CreateServiceLinkedRole`
+ `organizations:enableAWSServiceAccess`
+ `organizations:DescribeOrganization`

**Voraussetzungen**
+ Sie können diese Schritte nur ausführen, wenn Sie als Principal im Verwaltungskonto der Organisation angemeldet sind.
+ In der Organisation müssen alle Funktionen aktiviert sein. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Alle Funktionen in Ihrer Organisation aktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).

**Wichtig**  
Sie müssen das Teilen mit AWS Organizations mithilfe der AWS RAM Konsole oder des AWS CLI Befehls [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) aktivieren. Dadurch wird sichergestellt, dass die `AWSServiceRoleForResourceAccessManager`-serviceverknüpfte Rolle erstellt wird. Wenn Sie den vertrauenswürdigen Zugriff über die AWS Organizations Konsole oder den [ enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) AWS CLI Befehl aktivieren, AWS Organizations wird die `AWSServiceRoleForResourceAccessManager` dienstbezogene Rolle nicht erstellt, und Sie können Ressourcen innerhalb Ihrer Organisation nicht gemeinsam nutzen.

------
#### [ Console ]

**Um die gemeinsame Nutzung von Ressourcen innerhalb Ihrer Organisation zu ermöglichen**

1. Öffnen Sie die Seite **[„Einstellungen](https://console.aws.amazon.com/ram/home#Settings:)**“ in der AWS RAM Konsole.

1. Wählen Sie „**Teilen mit AWS Organizations aktivieren**“ und anschließend „**Einstellungen speichern“**.

------
#### [ AWS CLI ]

**Um die gemeinsame Nutzung von Ressourcen innerhalb Ihrer Organisation zu aktivieren**  
Verwenden Sie den Befehl [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html).

Dieser Befehl kann in allen AWS-Region Bereichen verwendet werden und ermöglicht die gemeinsame Nutzung AWS Organizations in allen Regionen, in denen er unterstützt AWS RAM wird.

```
$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}
```

------

## Erstellen einer Ressourcen-Freigabe
<a name="getting-started-sharing-create"></a>

Um Ressourcen, die Ihnen gehören, gemeinsam zu nutzen, erstellen Sie eine Ressourcenfreigabe. Es folgt eine Übersicht über den Prozess:

1. Fügen Sie die Ressourcen hinzu, die Sie teilen möchten.

1. Geben Sie für jeden Ressourcentyp, den Sie in die gemeinsame Nutzung aufnehmen, die [verwaltete Berechtigung](getting-started-terms-and-concepts.md#term-managed-permission) an, die für diesen Ressourcentyp verwendet werden soll.
   + Sie können zwischen einer der verfügbaren AWS verwalteten Berechtigungen, einer vorhandenen vom Kunden verwalteten Berechtigung wählen oder eine neue vom Kunden verwaltete Berechtigung erstellen.
   + AWS verwaltete Berechtigungen werden von erstellt AWS , um Standardanwendungsfälle abzudecken.
   + Mit vom Kunden verwalteten Berechtigungen können Sie Ihre eigenen verwalteten Berechtigungen an Ihre Sicherheits- und Geschäftsanforderungen anpassen.
**Anmerkung**  
Wenn die ausgewählte verwaltete Berechtigung mehrere Versionen hat, wird AWS RAM automatisch die Standardversion angehängt. Sie können ***nur*** die Version anhängen, die als Standardversion festgelegt ist.

1. Geben Sie die Prinzipale an, die Zugriff auf die Ressourcen haben sollen.

**Überlegungen**
+ Wenn Sie später eine AWS Ressource löschen müssen, die Sie in eine Freigabe aufgenommen haben, empfehlen wir, die Ressource zunächst entweder aus einer Ressourcenfreigabe zu entfernen, die sie enthält, oder die Ressourcenfreigabe zu löschen.
+ Die Ressourcentypen, die Sie in eine Ressourcenfreigabe aufnehmen können, sind unter aufgeführt[Gemeinsam nutzbare Ressourcen AWS](shareable.md).
+ Sie können eine Ressource nur gemeinsam nutzen, wenn Sie [Eigentümer dieser](getting-started-terms-and-concepts.md#term-sharing-account) Ressource sind. Sie können eine Ressource, die mit Ihnen geteilt wurde, nicht teilen.
+ AWS RAM ist ein regionaler Dienst. Wenn Sie eine Ressource mit Prinzipalen in anderen teilen AWS-Konten, müssen diese Prinzipale auf jede Ressource von derselben Seite aus zugreifen AWS-Region , in der sie erstellt wurde. Auf unterstützte globale Ressourcen können Sie von allen AWS-Region Ressourcen aus zugreifen, die von der Servicekonsole und den Tools der jeweiligen Ressource unterstützt werden. Sie können solche gemeinsam genutzten Ressourcen und ihre globalen Ressourcen in der AWS RAM Konsole und in den Tools nur in der angegebenen Heimatregion, USA Ost (Nord-Virginia), einsehen`us-east-1`. Weitere Informationen zu AWS RAM und globalen Ressourcen finden Sie unter[Gemeinsame Nutzung regionaler Ressourcen im Vergleich zu globalen Ressourcen](working-with-regional-vs-global.md).
+ Wenn das Konto, von dem aus Sie Inhalte teilen, Teil einer Organisation ist AWS Organizations und die gemeinsame Nutzung innerhalb Ihrer Organisation aktiviert ist, erhalten alle Prinzipale in der Organisation, für die Sie Inhalte freigeben, automatisch Zugriff auf die Ressourcenfreigaben, ohne dass Einladungen erforderlich sind. Ein Hauptbenutzer in einem Konto, mit dem Sie Inhalte außerhalb des Unternehmenskontextes teilen, erhält eine Einladung zur Teilnahme an der Resource Share und erhält erst dann Zugriff auf die gemeinsam genutzten Ressourcen, wenn sie die Einladung annehmen.
+ Wenn Sie die Ressource mit einem Dienstprinzipal teilen, können Sie der Ressourcenfreigabe keine anderen Prinzipale zuordnen.
+ Wenn die gemeinsame Nutzung zwischen Konten oder Prinzipalen erfolgt, die Teil einer Organisation sind, wirken sich alle Änderungen an der Organisationsmitgliedschaft dynamisch auf den Zugriff auf die gemeinsam genutzte Ressource aus. 
  + Wenn Sie der Organisation oder Organisationseinheit ein Konto hinzufügen, das Zugriff auf eine Ressourcenfreigabe hat, erhält dieses neue Mitgliedskonto automatisch Zugriff auf die Ressourcenfreigabe. AWS-Konto Der Administrator des Kontos, für das Sie eine gemeinsame Nutzung vorgenommen haben, kann dann einzelnen Prinzipalen in diesem Konto Zugriff auf die Ressourcen in dieser Freigabe gewähren. 
  + Wenn Sie ein Konto aus der Organisation oder einer Organisationseinheit entfernen, die Zugriff auf eine Ressourcenfreigabe hat, verlieren alle Prinzipale in diesem Konto automatisch den Zugriff auf Ressourcen, auf die über diese Ressourcenfreigabe zugegriffen wurde. 
  + Wenn Sie Rollen oder Benutzer im Mitgliedskonto direkt für ein Mitgliedskonto oder für IAM freigegeben haben und dann dieses Konto aus der Organisation entfernen, verlieren alle Principals in diesem Konto den Zugriff auf die Ressourcen, auf die über diese Ressourcenfreigabe zugegriffen wurde.
**Wichtig**  
Wenn Sie Daten für eine Organisation oder eine Organisationseinheit freigeben und dieser Bereich auch das Konto umfasst, dem die Ressourcenfreigabe gehört, erhalten alle Principals im gemeinsam genutzten Konto automatisch Zugriff auf die Ressourcen in der Freigabe. Der gewährte Zugriff wird durch die verwalteten Berechtigungen definiert, die mit der Freigabe verknüpft sind. Dies liegt daran, dass die ressourcenbasierte Richtlinie, die AWS RAM jeder Ressource in der Freigabe zugewiesen ist, verwendet. `"Principal": "*"` Weitere Informationen finden Sie unter [Auswirkungen der Verwendung "Principal": "\$1" in einer ressourcenbasierten Richtlinie](getting-started-terms-and-concepts.md#term-principal-star).  
Principals in den anderen Accounts, die diese Nutzung nutzen, erhalten nicht sofort Zugriff auf die Ressourcen der Aktie. Die Administratoren der anderen Konten müssen zunächst identitätsbasierte Berechtigungsrichtlinien an die entsprechenden Principals anhängen. Diese Richtlinien müssen `Allow` Zugriff auf die einzelnen Ressourcen im ARNs Resource Share gewähren. Die Berechtigungen in diesen Richtlinien dürfen die in der verwalteten Berechtigung für die Ressourcenfreigabe angegebenen Berechtigungen nicht überschreiten.
+ Sie können Ihren Ressourcenfreigaben nur die Organisation hinzufügen, der Ihr Konto OUs angehört, und aus dieser Organisation stammen. Sie können einer Ressourcenfreigabe keine Organisationen OUs oder Organisationen von außerhalb Ihrer eigenen Organisation als Prinzipale hinzufügen. Sie können jedoch einzelne AWS-Konten oder, bei unterstützten Diensten, IAM-Rollen und Benutzer von außerhalb Ihrer Organisation als Principals zu einer Ressourcenfreigabe hinzufügen.
**Anmerkung**  
Nicht alle Ressourcentypen können mit IAM-Rollen und Benutzern geteilt werden. Informationen zu Ressourcen, die Sie mit diesen Prinzipalen gemeinsam nutzen können, finden Sie unter. [Gemeinsam nutzbare Ressourcen AWS](shareable.md)
+ Für die folgenden Ressourcentypen haben Sie sieben Tage Zeit, um die Einladung zur Teilnahme an der Share für die folgenden Ressourcentypen anzunehmen. Wenn du die Einladung nicht annimmst, bevor sie abläuft, wird die Einladung automatisch abgelehnt.
**Wichtig**  
Für gemeinsam genutzte Ressourcentypen, die **nicht** in der folgenden Liste aufgeführt sind, haben Sie **12 Stunden** Zeit, um die Einladung zur Teilnahme an der Resource Share anzunehmen. Nach 12 Stunden läuft die Einladung ab und die Zuordnung des Endbenutzer-Hauptbenutzers zur Resource Share wird aufgehoben. Die Einladung kann von Endbenutzern nicht mehr angenommen werden.
  + Amazon Aurora — DB-Cluster
  + Amazon EC2 — Kapazitätsreservierungen und dedizierte Hosts
  + AWS License Manager — Lizenzkonfigurationen
  + AWS Outposts — Routentabellen, Außenposten und Standorte für lokale Gateways 
  + Amazon Route 53 — Speditionsregeln
  + Amazon VPC — Kundeneigene IPv4 Adressen, Präfixlisten, Subnetze, Traffic Mirror-Ziele, Transit-Gateways, Transit-Gateway-Multicast-Domänen

------
#### [ Console ]

**Um eine Ressourcenfreigabe zu erstellen**

1. Öffnen Sie die [AWS RAM -Konsole](https://console.aws.amazon.com/ram/home).

1. Da es bestimmte AWS RAM Ressourcenfreigaben gibt AWS-Regionen, wählen Sie die entsprechende Option AWS-Region aus der Dropdownliste in der oberen rechten Ecke der Konsole aus. Um Ressourcenfreigaben anzuzeigen, die globale Ressourcen enthalten, müssen Sie den Wert AWS-Region auf USA Ost (Nord-Virginia), () setzen. `us-east-1` Weitere Informationen zur gemeinsamen Nutzung globaler Ressourcen finden Sie unter[Gemeinsame Nutzung regionaler Ressourcen im Vergleich zu globalen Ressourcen](working-with-regional-vs-global.md). Wenn Sie globale Ressourcen in die gemeinsame Nutzung von Ressourcen einbeziehen möchten, müssen Sie die angegebene Heimatregion, USA Ost (Nord-Virginia), auswählen`us-east-1`.

1. Wenn Sie noch keine Erfahrung damit haben AWS RAM, wählen Sie auf der Startseite die Option **Ressourcenfreigabe erstellen** aus. Wählen Sie andernfalls auf der Seite **[Von mir geteilt: Gemeinsam genutzte Ressourcen die Option Ressourcenfreigabe](https://console.aws.amazon.com/ram/home#OwnedResourceShares:)** **erstellen** aus.

1. Gehen Sie in **Schritt 1: Angaben zur Ressourcenfreigabe angeben** wie folgt vor:

   1. Geben Sie für **Name** einen beschreibenden Namen für die Ressourcenfreigabe ein.

   1. Wählen Sie unter **Ressourcen** wie folgt Ressourcen aus, die der Ressourcenfreigabe hinzugefügt werden sollen:
      + **Wählen Sie unter Ressourcentyp** auswählen den Ressourcentyp aus, den Sie gemeinsam nutzen möchten. Dadurch wird die Liste der gemeinsam nutzbaren Ressourcen auf die Ressourcen des ausgewählten Typs gefiltert.
      + Aktivieren Sie in der resultierenden Ressourcenliste die Kontrollkästchen neben den einzelnen Ressourcen, die Sie gemeinsam nutzen möchten. Die ausgewählten Ressourcen werden unter **Ausgewählte Ressourcen** verschoben.

        Wenn Sie Ressourcen gemeinsam nutzen, die einer bestimmten Availability Zone zugeordnet sind, können Sie mithilfe der Availability Zone ID (AZ ID) den relativen Standort dieser Ressourcen zwischen Konten ermitteln. Weitere Informationen finden Sie unter [Availability Zone IDs für Ihre AWS Ressourcen](working-with-az-ids.md).

   1. (Optional) Um der Ressourcenfreigabe [Tags](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) hinzuzufügen, geben Sie unter **Tags** einen Tag-Schlüssel und einen Tag-Wert ein. Fügen Sie weitere hinzu, indem **Sie Neues Tag hinzufügen** wählen. Wiederholen Sie diesen Schritt nach Bedarf. Diese Tags gelten nur für die Ressourcenfreigabe selbst, nicht für die Ressourcen in der Ressourcenfreigabe.

1. Wählen Sie **Weiter** aus.

1. In **Schritt 2: Ordnen Sie jedem Ressourcentyp eine verwaltete Berechtigung** zu, können Sie wählen, ob Sie dem Ressourcentyp eine verwaltete Berechtigung zuordnen, eine bestehende vom AWS Kunden verwaltete Berechtigung auswählen oder Ihre eigene vom Kunden verwaltete Berechtigung für unterstützte Ressourcentypen erstellen möchten. Weitere Informationen finden Sie unter [Arten von verwalteten Berechtigungen](security-ram-permissions.md#permissions-types).

   Wählen Sie **Vom Kunden verwaltete Berechtigung erstellen** aus, um eine vom Kunden verwaltete Berechtigung zu erstellen, die den Anforderungen Ihres Anwendungsfalls zum Teilen entspricht. Weitere Informationen finden Sie unter [Erstellen Sie eine vom Kunden verwaltete Berechtigung](create-customer-managed-permissions.md#create_cmp). Wählen Sie ![\[Refresh icon\]](http://docs.aws.amazon.com/de_de/ram/latest/userguide/images/refresh_icon.PNG) nach Abschluss des Vorgangs Ihre neue vom Kunden verwaltete Berechtigung aus der Dropdownliste **Verwaltete Berechtigungen** aus.
**Anmerkung**  
Wenn die ausgewählte verwaltete Berechtigung mehrere Versionen hat, wird AWS RAM automatisch die Standardversion angehängt. Sie können ***nur*** die Version anhängen, die als Standardversion festgelegt wurde.

   Um die Aktionen anzuzeigen, die die verwaltete Berechtigung zulässt, erweitern Sie **die Option Richtlinienvorlage für diese verwaltete Berechtigung anzeigen**.

1. Wählen Sie **Weiter** aus.

1. Gehen **Sie in Schritt 3: Prinzipalen Zugriff gewähren** wie folgt vor:

   1. Standardmäßig ist **Freigabe für alle zulassen** aktiviert, was bedeutet, dass Sie für die Ressourcentypen, die dies unterstützen, Ressourcen mit Ressourcen teilen können, AWS-Konten die sich außerhalb Ihrer Organisation befinden. Dies wirkt sich nicht auf Ressourcentypen aus, die *nur* innerhalb einer Organisation gemeinsam genutzt werden können, wie z. B. Amazon VPC-Subnetze. Sie können einige [unterstützte Ressourcentypen](shareable.md) auch für IAM-Rollen und -Benutzer freigeben.

      Um die gemeinsame Nutzung von Ressourcen auf Konten und Prinzipale in Ihrer Organisation zu beschränken, wählen Sie **Freigabe nur innerhalb Ihrer Organisation zulassen** aus.

   1. Gehen Sie für **Principals** wie folgt vor:
      + Um die Organisation, eine Organisationseinheit (OU) oder eine Organisation, AWS-Konto die Teil einer Organisation ist, hinzuzufügen, aktivieren Sie die Option **Organisationsstruktur anzeigen**. Dadurch wird eine Strukturansicht Ihrer Organisation angezeigt. Aktivieren Sie dann das Kontrollkästchen neben jedem Prinzipal, den Sie hinzufügen möchten.
**Wichtig**  
Wenn Sie Inhalte für eine Organisation oder eine Organisationseinheit freigeben und dieser Bereich auch das Konto umfasst, dem die Ressourcenfreigabe gehört, erhalten alle Prinzipale im Freigabekonto automatisch Zugriff auf die Ressourcen in der Freigabe. Der gewährte Zugriff wird durch die verwalteten Berechtigungen definiert, die mit der Freigabe verknüpft sind. Dies liegt daran, dass die ressourcenbasierte Richtlinie, die AWS RAM jeder Ressource in der Freigabe zugewiesen ist, verwendet. `"Principal": "*"` Weitere Informationen finden Sie unter [Auswirkungen der Verwendung "Principal": "\$1" in einer ressourcenbasierten Richtlinie](getting-started-terms-and-concepts.md#term-principal-star).  
Principals in den anderen Accounts, die diese Nutzung nutzen, erhalten nicht sofort Zugriff auf die Ressourcen der Aktie. Die Administratoren der anderen Konten müssen zunächst identitätsbasierte Berechtigungsrichtlinien an die entsprechenden Principals anhängen. Diese Richtlinien müssen `Allow` Zugriff auf die einzelnen Ressourcen im ARNs Resource Share gewähren. Die Berechtigungen in diesen Richtlinien dürfen die in der verwalteten Berechtigung für die Ressourcenfreigabe angegebenen Berechtigungen nicht überschreiten.
        + Wenn Sie die Organisation auswählen (die ID beginnt mit`o-`), können Prinzipale in der gesamten AWS-Konten Organisation auf die Ressourcenfreigabe zugreifen. 
        + Wenn Sie eine Organisationseinheit auswählen (die ID beginnt mit`ou-`), OUs können alle Prinzipale AWS-Konten in dieser Organisationseinheit und der zugehörigen untergeordneten Organisationseinheit auf die Ressourcenfreigabe zugreifen.
        + Wenn Sie eine Einzelperson auswählen AWS-Konto, können nur Principals in diesem Konto auf die Ressourcenfreigabe zugreifen.
**Anmerkung**  
Die Option „**Organisationsstruktur anzeigen**“ wird nur angezeigt, wenn „Teilen mit“ aktiviert AWS Organizations ist und Sie beim Verwaltungskonto der Organisation angemeldet sind.  
Sie können diese Methode nicht verwenden, um eine Rolle oder einen Benutzer AWS-Konto außerhalb Ihrer Organisation oder eines IAM-Benutzers anzugeben. Stattdessen müssen Sie die Option **Organisationsstruktur anzeigen** deaktivieren und die Dropdownliste und das Textfeld verwenden, um die ID oder den ARN einzugeben.
      + Um einen Prinzipal nach ID oder ARN anzugeben, einschließlich Prinzipalen, die sich außerhalb der Organisation befinden, wählen Sie für jeden Prinzipal den Prinzipaltyp aus. Geben Sie als Nächstes die ID (für eine AWS-Konto Organisation oder OU) oder den ARN (für eine IAM-Rolle oder einen IAM-Benutzer) ein und wählen Sie dann **Hinzufügen** aus. Die verfügbaren Prinzipaltypen sowie ID- ARN ARN-Formate lauten wie folgt:
        + **AWS-Konto**— Um eine hinzuzufügen AWS-Konto, geben Sie die 12-stellige Konto-ID ein. Beispiel:

          `123456789012`
        + **Organisation** — Um alle zu Ihrer Organisation hinzuzufügen, geben Sie die ID der Organisation ein. AWS-Konten Beispiel:

          `o-abcd1234`
        + **Organisationseinheit (OU)** — Um eine OU hinzuzufügen, geben Sie die ID der OU ein. Beispiel:

          `ou-abcd-1234efgh`
        + **IAM-Rolle** — Um eine IAM-Rolle hinzuzufügen, geben Sie den ARN der Rolle ein. Verwenden Sie die folgende Syntax:

          `arn:partition:iam::account:role/role-name`

          Beispiel:

          `arn:aws:iam::123456789012:role/MyS3AccessRole`
**Anmerkung**  
Um den eindeutigen ARN für eine IAM-Rolle abzurufen, [zeigen Sie die Rollenliste in der IAM-Konsole](https://console.aws.amazon.com/iamv2/home?#/roles) an, verwenden Sie den AWS CLI Befehl [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) oder die [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)API-Aktion.
        + **IAM-Benutzer** — Um einen IAM-Benutzer hinzuzufügen, geben Sie den ARN des Benutzers ein. Verwenden Sie die folgende Syntax:

          `arn:partition:iam::account:user/user-name`

          Beispiel:

          `arn:aws:iam::123456789012:user/bob`
**Anmerkung**  
Um den eindeutigen ARN für einen IAM-Benutzer zu erhalten, [zeigen Sie die Benutzerliste in der IAM-Konsole](https://console.aws.amazon.com/iamv2/home?#/users) an, verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) AWS CLI Befehl oder die [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)API-Aktion.
      +  **Service Principal** — Um einen Service Principal hinzuzufügen, wählen Sie **Service Principal** aus der Dropbox **Select Principal Type** aus. Geben Sie den Namen des AWS Dienstprinzipals ein. Verwenden Sie die folgende Syntax: 
        + `service-id.amazonaws.com`

          Beispiel:

          `pca-connector-ad.amazonaws.com`

   1. Stellen Sie **unter Ausgewählte Prinzipale** sicher, dass die von Ihnen angegebenen Prinzipale in der Liste angezeigt werden.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie in **Schritt 4: Überprüfen und erstellen** die Konfigurationsdetails für Ihre Ressourcenfreigabe. Um die Konfiguration für einen beliebigen Schritt zu ändern, wählen Sie den Link, der dem Schritt entspricht, zu dem Sie zurückkehren möchten, und nehmen Sie die erforderlichen Änderungen vor.

1. Nachdem Sie die Überprüfung der Ressourcenfreigabe abgeschlossen haben, wählen Sie **Ressourcenfreigabe erstellen** aus.

   Es kann einige Minuten dauern, bis die Ressourcen- und Prinzipal-Zuordnungen abgeschlossen ist. Warten Sie, bis dieser Vorgang abgeschlossen ist, bevor Sie versuchen, die Ressourcenfreigabe zu verwenden.

1. Sie können jederzeit Ressourcen und Principals hinzufügen und entfernen oder benutzerdefinierte Tags auf Ihre Resource Share anwenden. Sie können die verwalteten Berechtigungen für Ressourcentypen ändern, die in Ihrer Ressourcenfreigabe enthalten sind, und zwar für Typen, die mehr als die standardmäßige verwaltete Berechtigung unterstützen. Sie können Ihre Ressourcenfreigabe löschen, wenn Sie die Ressourcen nicht mehr gemeinsam nutzen möchten. Weitere Informationen finden Sie unter [Teilen Sie AWS Ressourcen, die Ihnen gehören](working-with-sharing.md).

------
#### [ AWS CLI ]

**Um eine gemeinsame Nutzung einer Ressource zu erstellen**  
Verwenden Sie den Befehl [https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html). Mit dem folgenden Befehl wird eine Ressourcenfreigabe erstellt, die von allen Mitgliedern der AWS-Konten Organisation gemeinsam genutzt wird. Die gemeinsame Nutzung enthält eine AWS License Manager Lizenzkonfiguration und gewährt die standardmäßigen verwalteten Berechtigungen für diesen Ressourcentyp.

**Anmerkung**  
Wenn Sie eine vom Kunden verwaltete Berechtigung mit einem Ressourcentyp in dieser Ressourcenfreigabe verwenden möchten, können Sie entweder eine vorhandene vom Kunden verwaltete Berechtigung verwenden oder eine neue vom Kunden verwaltete Berechtigung erstellen. Notieren Sie sich den ARN für die vom Kunden verwaltete Berechtigung und erstellen Sie dann die Ressourcenfreigabe. Weitere Informationen finden Sie unter [Erstellen Sie eine vom Kunden verwaltete Berechtigung](create-customer-managed-permissions.md#create_cmp).

```
$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}
```

------

# Nutzung gemeinsam genutzter AWS Ressourcen
<a name="getting-started-shared"></a>

Führen Sie die folgenden Aufgaben aus, um mit der Nutzung von Ressourcen zu beginnen AWS Resource Access Manager, die mit Ihrem Konto geteilt wurden.

**Topics**
+ [Antworten Sie auf die Einladung zur gemeinsamen Nutzung von Ressourcen](#getting-started-shared-respond-invitation)
+ [Verwenden Sie die Ressourcen, die mit Ihnen gemeinsam genutzt werden](#getting-started-shared-use-resources)

## Antworten Sie auf die Einladung zur gemeinsamen Nutzung von Ressourcen
<a name="getting-started-shared-respond-invitation"></a>

Wenn Sie eine Einladung erhalten, einer Resource Share beizutreten, müssen Sie diese annehmen, um Zugriff auf die gemeinsam genutzten Ressourcen zu erhalten. 

Einladungen werden in den folgenden Szenarien nicht verwendet:
+ Wenn Sie Teil einer Organisation in Ihrer Organisation sind AWS Organizations und das Teilen in Ihrer Organisation aktiviert ist, erhalten Prinzipale in der Organisation automatisch ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.
+ Wenn Sie die Ressource mit dem teilen AWS-Konto , dem die Ressource gehört, erhalten die Prinzipale in diesem Konto automatisch und ohne Einladungen Zugriff auf die gemeinsam genutzten Ressourcen.

------
#### [ Console ]

**Um auf Einladungen zu antworten**

1. Öffnen Sie in der AWS RAM Konsole die Seite **[Für mich freigegeben: Gemeinsam genutzte Ressourcen](https://console.aws.amazon.com/ram/home#SharedResourceShares:)**.
**Anmerkung**  
Eine gemeinsam genutzte Ressource ist nur in der Datei sichtbar, AWS-Region in der sie erstellt wurde. Wenn eine erwartete Ressourcenfreigabe nicht in der Konsole angezeigt wird, müssen Sie möglicherweise AWS-Region mithilfe des Dropdown-Steuerelements in der oberen rechten Ecke zu einer anderen wechseln.

1. Sehen Sie sich die Liste der Ressourcenfreigaben an, auf die Sie Zugriff erhalten haben.

   In der Spalte **Status** wird Ihr aktueller Teilnahmestatus für die Ressourcenfreigabe angezeigt. Der `Pending` Status gibt an, dass Sie zu einer Resource Share hinzugefügt wurden, die Einladung jedoch noch nicht angenommen oder abgelehnt haben.

1. Um auf die Einladung zur Ressourcenfreigabe zu antworten, wählen Sie die Resource Share-ID aus und wählen Sie **Resource Share** annehmen, um die Einladung anzunehmen, oder **Resource Share ablehnen**, um die Einladung abzulehnen. Wenn Sie die Einladung ablehnen, erhalten Sie keinen Zugriff auf die Ressourcen. Wenn Sie die Einladung annehmen, erhalten Sie Zugriff auf die Ressourcen.

------
#### [ AWS CLI ]

Besorgen Sie sich zunächst eine Liste der Resource Share-Einladungen, die Ihnen zur Verfügung stehen. Der folgende Beispielbefehl wurde in der `us-west-2` Region ausgeführt und zeigt, dass eine Ressourcenfreigabe im `PENDING` Bundesstaat verfügbar ist.

```
$ aws ram get-resource-share-invitations
{
    "resourceShareInvitations": [
        {
            "resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
            "resourceShareName": "MyNewResourceShare",
            "resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
            "senderAccountId": "111122223333",
            "receiverAccountId": "444455556666",
            "invitationTimestamp": "2021-09-15T15:00:32.568000-07:00",
            "status": "PENDING"
        }
    ]
}
```

Sie können den Amazon-Ressourcennamen (ARN) der Einladung aus dem vorherigen Befehl als Parameter im nächsten Befehl verwenden, um diese Einladung anzunehmen.

```
$ aws ram accept-resource-share-invitation \
    --resource-share-invitation-arn arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111
{
    "resourceShareInvitation": {
        "resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
        "resourceShareName": "MyNewResourceShare",
        "resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
        "senderAccountId": "111122223333",
        "receiverAccountId": "444455556666",
        "invitationTimestamp": "2021-09-15T15:14:12.580000-07:00",
        "status": "ACCEPTED"
    }
}
```

Die Ausgabe zeigt, dass der geändert `status` wurde zu`ACCEPTED`. Die Ressourcen, die in dieser Ressourcenfreigabe enthalten sind, stehen nun den Prinzipalen im akzeptierenden Konto zur Verfügung.

------

## Verwenden Sie die Ressourcen, die mit Ihnen gemeinsam genutzt werden
<a name="getting-started-shared-use-resources"></a>

Nachdem Sie die Einladung zum Beitritt zu einer gemeinsamen Ressource angenommen haben, können Sie bestimmte Aktionen für die gemeinsam genutzten Ressourcen ausführen. Diese Aktionen variieren je nach Ressourcentyp. Weitere Informationen finden Sie unter [Gemeinsam nutzbare Ressourcen AWS](shareable.md). Die Ressourcen sind direkt in der Servicekonsole und in den API/CLI Betriebsabläufen der einzelnen Ressourcen verfügbar. Wenn es sich um eine regionale Ressource handelt, müssen Sie den richtigen Befehl AWS-Region in der Servicekonsole oder im API/CLI-Befehl verwenden. Wenn es sich um eine globale Ressource handelt, müssen Sie die angegebene Heimatregion USA Ost (Nord-Virginia) verwenden. `us-east-1` Um die Ressource anzuzeigen AWS RAM, müssen Sie die AWS RAM Konsole öffnen, in der AWS-Region die Ressourcenfreigabe erstellt wurde.