Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Commencer avec AWS RAM
<a name="getting-started"></a>

Avec AWS Resource Access Manager, vous pouvez partager les ressources que vous possédez avec d'autres personnes Comptes AWS. Si votre compte est géré par AWS Organizations, vous pouvez également partager des ressources avec les autres comptes de votre organisation. Vous pouvez également utiliser des ressources qui ont été partagées avec vous par d'autres personnes Comptes AWS. 

Si vous n'activez pas le partage interne AWS Organizations, vous ne pouvez pas partager de ressources avec votre organisation ou avec les unités organisationnelles (UO) de votre organisation. Cependant, vous pouvez toujours partager des ressources avec des Comptes AWS membres de votre organisation. Pour les [types de ressources pris en charge](shareable.md), vous pouvez également partager des ressources avec des rôles ou des utilisateurs individuels Gestion des identités et des accès AWS (IAM) au sein de votre organisation. Dans ce cas, ces principaux sont traités comme s'ils étaient des comptes externes, plutôt que comme faisant partie de votre organisation. Ils reçoivent une invitation à rejoindre le partage des ressources, et ils doivent accepter l'invitation pour accéder aux ressources partagées.

**Topics**
+ [Termes et concepts](getting-started-terms-and-concepts.md)
+ [Partage de vos ressources](getting-started-sharing.md)
+ [Utilisation de ressources partagées](getting-started-shared.md)

# Termes et concepts pour AWS RAM
<a name="getting-started-terms-and-concepts"></a>

Les concepts suivants expliquent comment vous pouvez utiliser AWS Resource Access Manager (AWS RAM) pour partager vos ressources.

## Partage de ressources
<a name="term-resource-share"></a>

Vous partagez des ressources en AWS RAM créant un *partage de ressources*. Un partage de ressources comporte les trois éléments suivants :
+ Liste d'une ou de plusieurs AWS ressources à partager.
+ Liste d'un ou de plusieurs [principaux](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) auxquels l'accès aux ressources est accordé.
+ Une [autorisation gérée](#term-managed-permission) pour chaque type de ressource que vous incluez dans le partage. Chaque autorisation gérée s'applique à toutes les ressources de ce type dans ce partage de ressources.

Une fois que AWS RAM vous avez créé un partage de ressources, les principaux spécifiés dans le partage de ressources peuvent avoir accès aux ressources du partage.
+ Si vous activez le AWS RAM partage avec AWS Organizations et que les principaux avec lesquels vous partagez font partie de la même organisation que le compte de partage, ces principaux peuvent y accéder dès que l'administrateur de leur compte leur accorde l'autorisation d'utiliser les ressources conformément à une politique d'autorisation Gestion des identités et des accès AWS (IAM).
+ Si vous n'activez pas le AWS RAM partage avec les Organisations, vous pouvez toujours partager des ressources avec Comptes AWS des membres de votre organisation. L'administrateur du compte consommateur reçoit une invitation à rejoindre le partage de ressources, et il doit accepter l'invitation avant que les principaux spécifiés dans le partage de ressources puissent accéder aux ressources partagées.
+ Vous pouvez également partager avec des comptes extérieurs à votre organisation, si le type de ressource le permet. L'administrateur du compte consommateur reçoit une invitation à rejoindre le partage de ressources, et il doit accepter l'invitation avant que les principaux spécifiés dans le partage de ressources puissent accéder aux ressources partagées. Pour plus d'informations sur les types de ressources compatibles avec ce type de partage, consultez [Ressources partageables AWS](shareable.md) la colonne **Peut partager avec des comptes extérieurs à son organisation**.

## Partage de compte
<a name="term-sharing-account"></a>

Le *compte de partage* contient la ressource qui est partagée et dans laquelle l' AWS RAM administrateur crée le partage de AWS ressources en utilisant AWS RAM. 

Un AWS RAM administrateur est un administrateur principal IAM autorisé à créer et à configurer des partages de ressources dans le Compte AWS. Comme AWS RAM cela fonctionne en associant une politique basée sur les ressources aux ressources d'un partage de ressources, l' AWS RAM administrateur doit également être autorisé à appeler l'`PutResourcePolicy`opération Service AWS pour chaque type de ressource inclus dans un partage de ressources.

## Principaux consommateurs
<a name="term-consuming-account"></a>

Le *compte consommateur* est le compte Compte AWS sur lequel une ressource est partagée. Le partage de ressources peut spécifier un compte entier comme principal ou, pour certains types de ressources, des rôles individuels ou des utilisateurs du compte. Pour plus d'informations sur les types de ressources compatibles avec ce type de partage, consultez [Ressources partageables AWS](shareable.md) et consultez la colonne **Peut partager avec les rôles et utilisateurs IAM**.

AWS RAM soutient également les principaux fournisseurs de services en tant que consommateurs de parts de ressources. Pour plus d'informations sur les types de ressources compatibles avec ce type de partage, consultez [Ressources partageables AWS](shareable.md) et consultez la colonne **Peut être partagée avec les responsables du service**.

 Les principaux du compte consommateur ne peuvent effectuer que les actions autorisées par ***les deux*** autorisations suivantes :
+ Les autorisations gérées associées au partage de ressources. Ils spécifient les autorisations *maximales* qui peuvent être accordées aux principaux du compte consommateur.
+ Les politiques basées sur l'identité IAM associées à des rôles ou utilisateurs individuels par l'administrateur IAM dans le compte consommateur. Ces politiques doivent accorder `Allow` l'accès à des actions spécifiées et à l'[Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) d'une ressource dans le compte de partage.

AWS RAM prend en charge les principaux types d'IAM suivants en tant que consommateurs de partages de ressources :
+ **Autre Compte AWS** : le partage des ressources met les ressources incluses dans le compte de partage à la disposition du compte consommateur. 
+ **Rôles IAM individuels ou utilisateurs d'un autre compte : certains types de ressources prennent en** charge le partage direct avec des rôles ou utilisateurs IAM individuels. Spécifiez ce type principal par son ARN.
  + **Rôle IAM —** `arn:aws:iam::123456789012:role/rolename`
  + **Utilisateur IAM —** `arn:aws:iam::123456789012:user/username`
+ **Service principal** : partagez une ressource avec un AWS service pour autoriser ce dernier à accéder à un partage de ressources. Le partage du capital de AWS service permet à un service de prendre des mesures en votre nom afin d'alléger la charge opérationnelle. 

  Pour partager avec un principal de service, choisissez d'autoriser le partage avec n'importe qui, puis, sous **Sélectionner le type de principal**, choisissez **Service principal** dans la liste déroulante. Spécifiez le nom du directeur du service au format suivant :
  + `service-id.amazonaws.com`

  Pour atténuer le risque de confusion entre les adjoints, la politique en matière de ressources indique l'ID de compte du propriétaire de la ressource dans la clé de `aws:SourceAccount` condition.
+ **Comptes d'une organisation** : si le compte de partage est géré par AWS Organizations, le partage de ressources peut spécifier l'identifiant de l'organisation à partager avec tous les comptes de l'organisation. Le partage de ressources peut également spécifier un ID d'unité organisationnelle (UO) à partager avec tous les comptes de cette UO. Un compte de partage ne peut partager qu'avec sa propre organisation ou une unité d'organisation IDs au sein de sa propre organisation. Spécifiez les comptes d'une organisation en fonction de l'ARN de l'organisation ou de l'unité d'organisation.
  + **Tous les comptes d'une organisation** — Voici un exemple d'ARN d'une organisation dans AWS Organizations :

    `arn:aws:organizations::123456789012:organization/o-<orgid>`
  + **Tous les comptes d'une unité organisationnelle** : voici un exemple d'ARN d'ID d'unité d'organisation :

    `arn:aws:organizations::123456789012:organization/o-<orgid>/ou-<rootid>-<ouid>`
**Important**  
Lorsque vous partagez avec une organisation ou une unité d'organisation, et que cette étendue inclut le compte propriétaire du partage de ressources, tous les principaux du compte de partage ont automatiquement accès aux ressources du partage. L'accès accordé est défini par les autorisations gérées associées au partage. Cela est dû au fait que la politique basée sur les ressources qui AWS RAM s'attache à chaque ressource du partage utilise. `"Principal": "*"` Pour de plus amples informations, veuillez consulter [Implications de l'utilisation "Principal": "\$1" dans le cadre d'une politique basée sur les ressources](#term-principal-star).  
Les directeurs des autres comptes consommateurs n'ont pas immédiatement accès aux ressources de l'action. Les administrateurs des autres comptes doivent d'abord associer des politiques d'autorisation basées sur l'identité aux principaux appropriés. Ces politiques doivent accorder l'`Allow`accès aux ressources individuelles ARNs du partage de ressources. Les autorisations définies dans ces politiques ne peuvent pas dépasser celles spécifiées dans l'autorisation gérée associée au partage de ressources.

## Politique basée sur les ressources
<a name="term-resource-based-policy"></a>

Les politiques basées sur les ressources sont des documents texte JSON qui implémentent le langage de politique IAM. Contrairement aux politiques basées sur l'identité que vous attachez au principal, telles qu'un rôle ou un utilisateur IAM, vous attachez des politiques basées sur les ressources à la ressource. AWS RAM rédige des politiques basées sur les ressources en votre nom sur la base des informations que vous fournissez pour votre partage de ressources. Vous devez spécifier un élément `Principal` de politique qui détermine qui peut accéder à la ressource. *Pour plus d'informations, consultez les sections Politiques basées sur l'[identité et politiques basées sur les ressources dans le Guide de l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)utilisateur IAM.*

Les politiques basées sur les ressources générées par AWS RAM sont évaluées en même temps que tous les autres types de politiques IAM. Cela inclut toutes les politiques basées sur l'identité IAM attachées aux principaux qui tentent d'accéder à la ressource, et les politiques de contrôle des services (SCPs) correspondantes peuvent AWS Organizations s'appliquer au. Compte AWS Les politiques basées sur les ressources générées par AWS RAM participent à la même logique d'évaluation des politiques que toutes les autres politiques IAM. Pour plus de détails sur l'évaluation des politiques et sur la manière de déterminer les autorisations qui en résultent, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.

AWS RAM fournit une expérience de partage de ressources simple et sécurisée en fournissant des politiques basées sur les ressources easy-to-use abstraites. 

Pour les types de ressources qui prennent en charge les politiques basées sur les ressources, construit et gère AWS RAM automatiquement les politiques basées sur les ressources pour vous. Pour une ressource donnée, AWS RAM élabore la politique basée sur les ressources en combinant les informations provenant de tous les partages de ressources qui incluent cette ressource. Prenons l'exemple d'un pipeline Amazon SageMaker AI que vous partagez en utilisant AWS RAM et en incluant deux partages de ressources différents. Vous pouvez utiliser un partage de ressources pour fournir un accès en lecture seule à l'ensemble de votre organisation. Vous pouvez ensuite utiliser l'autre partage de ressources pour n'accorder que des autorisations d'exécution de l' SageMaker IA à un seul compte. AWS RAM combine automatiquement ces deux ensembles d'autorisations différents en une seule politique de ressources comportant plusieurs instructions. Il attache ensuite la politique combinée basée sur les ressources à la ressource du pipeline. Vous pouvez consulter cette politique de ressources sous-jacente en appelant l'[https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html)opération. Services AWS utilisez ensuite cette politique basée sur les ressources pour autoriser tout principal qui tente d'effectuer une action sur la ressource partagée. 

Bien que vous puissiez créer manuellement les politiques basées sur les ressources et les associer à vos ressources en appelant`PutResourcePolicy`, nous vous recommandons de les utiliser AWS RAM car elles offrent les avantages suivants :
+ **Découvrabilité pour les consommateurs** de partages : si vous partagez des ressources en utilisant AWS RAM, les utilisateurs peuvent voir toutes les ressources partagées avec eux directement dans la console du service propriétaire des ressources et dans les opérations d'API comme si ces ressources se trouvaient directement dans le compte de l'utilisateur. Par exemple, si vous partagez un AWS CodeBuild projet avec un autre compte, les utilisateurs du compte consommateur peuvent voir le projet dans la CodeBuild console et dans les résultats des opérations d' CodeBuild API effectuées. Les ressources partagées en joignant directement une politique basée sur les ressources ne sont pas visibles de cette façon. Au lieu de cela, vous devez découvrir et faire référence explicitement à la ressource par son ARN.
+ **Facilité de gestion pour les propriétaires d'actions** : si vous partagez des ressources en utilisant AWS RAM, les propriétaires des ressources du compte de partage peuvent voir de manière centralisée quels autres comptes ont accès à leurs ressources. Si vous partagez une ressource à l'aide d'une politique basée sur les ressources, vous ne pouvez voir les comptes consommateurs qu'en examinant la politique relative aux ressources individuelles dans la console de service ou l'API correspondante.
+ **Efficacité** — Si vous partagez des ressources en utilisant AWS RAM, vous pouvez partager plusieurs ressources et les gérer en tant qu'unité. Les ressources partagées en utilisant uniquement des politiques basées sur les ressources nécessitent des politiques individuelles associées à chaque ressource que vous partagez.
+ **Simplicité** — Grâce à AWS RAM cela, vous n'avez pas besoin de comprendre le langage de politique IAM basé sur JSON. AWS RAM fournit des autorisations ready-to-use AWS gérées que vous pouvez choisir d'associer à vos partages de ressources.

En utilisant AWS RAM, vous pouvez même partager certains types de ressources qui ne sont pas encore compatibles avec les politiques basées sur les ressources. Pour ces types de ressources, génère AWS RAM automatiquement une politique basée sur les ressources en tant que représentation des autorisations réelles. Les utilisateurs peuvent consulter cette représentation en appelant [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html). Cela inclut les types de ressources suivants :
+ Amazon Aurora — Clusters de bases de données
+ Amazon EC2 : réservations de capacité et hôtes dédiés
+ AWS License Manager — Configurations de licence
+ AWS Outposts — Tables de routage, avant-postes et sites des passerelles locales
+ Amazon Route 53 — Règles de transfert
+ Amazon Virtual Private Cloud : IPv4 adresses, listes de préfixes, sous-réseaux, cibles miroir du trafic, passerelles de transit et domaines de multidiffusion de passerelles de transit appartenant au client

### Exemples de politiques basées sur les ressources AWS RAM générées
<a name="rbp-examples"></a>

Si vous partagez une ressource d'image EC2 Image Builder avec un compte ***individuel*** AWS RAM , générez une politique semblable à l'exemple suivant et l'associez à toutes les ressources d'image incluses dans le partage de ressources.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages"
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}
```

------

Si vous partagez une ressource d'image EC2 Image Builder avec ***un rôle ou un utilisateur IAM*** dans un Compte AWS autre AWS RAM , génère une politique semblable à l'exemple suivant et l'attache à toutes les ressources d'image incluses dans le partage de ressources.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/MySampleRole"
            },
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages"
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}
```

------

Si vous partagez une ressource d'image EC2 Image Builder avec tous les comptes d'une organisation ou avec les comptes d'une unité d'organisation AWS RAM , vous générez une politique semblable à l'exemple suivant et l'associez à toutes les ressources d'image incluses dans le partage de ressources.

**Note**  
Cette politique utilise `"Principal": "*"` puis utilise l'`"Condition"`élément pour restreindre les autorisations aux identités qui correspondent à celles spécifiées`PrincipalOrgID`. Pour de plus amples informations, veuillez consulter [Implications de l'utilisation "Principal": "\$1" dans le cadre d'une politique basée sur les ressources](#term-principal-star).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages"
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-123456789"
                }
            }
        }
    ]
}
```

------

### Implications de l'utilisation "Principal": "\$1" dans le cadre d'une politique basée sur les ressources
<a name="term-principal-star"></a>

Lorsque vous `"Principal": "*"` incluez une politique basée sur les ressources, celle-ci accorde l'accès à tous les principaux IAM du compte contenant la ressource, sous réserve des restrictions imposées par un `Condition` élément, s'il existe. `Deny`Les déclarations explicites contenues dans toute politique qui s'applique au principal appelant remplacent les autorisations accordées par cette politique. Cependant, un élément ***implicite*** `Deny` (c'est-à-dire l'absence d'*explicite*`Allow`) dans les politiques d'identité, les politiques de limites d'autorisations ou les politiques de session applicables ***n'autorise pas*** les principaux `Deny` à accéder à une action par le biais d'une telle politique basée sur les ressources.

Si ce comportement n'est pas souhaitable pour votre scénario, vous pouvez le limiter en ajoutant une `Deny` déclaration ***explicite*** à une politique d'identité, à une limite d'autorisations ou à une politique de session qui affecte les rôles et les utilisateurs concernés. 

## Autorisations gérées
<a name="term-managed-permission"></a>

Les autorisations gérées définissent les actions que les principaux peuvent effectuer et dans quelles conditions sur les types de ressources pris en charge dans un partage de ressources. Lorsque vous créez un partage de ressources, vous devez spécifier l'autorisation gérée à utiliser pour chaque type de ressource inclus dans le partage de ressources. Une autorisation gérée répertorie l'ensemble `actions` et les *conditions que les* principaux peuvent exécuter avec la ressource partagée à l'aide AWS RAM de celle-ci.

Vous ne pouvez associer qu'une seule autorisation gérée pour chaque type de ressource dans un partage de ressources. Vous ne pouvez pas créer un partage de ressources dans lequel certaines ressources d'un certain type utilisent une autorisation gérée et d'autres ressources du même type utilisent une autorisation gérée différente. Pour ce faire, vous devez créer deux partages de ressources différents et répartir les ressources entre eux, en attribuant à chaque ensemble une autorisation de gestion différente. Il existe deux types d'autorisations gérées :

**AWS autorisations gérées**  
AWS les autorisations gérées sont créées et gérées par AWS et accordent des autorisations pour les scénarios clients courants. AWS RAM définit au moins une autorisation AWS gérée pour chaque type de ressource pris en charge. Certains types de ressources prennent en charge plusieurs autorisations AWS gérées, une autorisation gérée étant désignée AWS par défaut. L'[autorisation AWS gérée par défaut](security-ram-permissions.md#permissions-types) est associée, sauf indication contraire de votre part.

**Autorisations gérées par le client**  
Les autorisations gérées par le client sont des autorisations gérées que vous créez et gérez en spécifiant précisément quelles actions peuvent être effectuées et dans quelles conditions avec des ressources partagées AWS RAM. Par exemple, vous souhaitez limiter l'accès en lecture à vos pools Amazon VPC IP Address Manager (IPAM), qui vous aident à gérer vos adresses IP à grande échelle. Vous pouvez créer des autorisations gérées par le client pour que vos développeurs puissent attribuer des adresses IP, mais vous ne pouvez pas consulter la plage d'adresses IP attribuées par d'autres comptes de développeurs. Vous pouvez suivre la meilleure pratique du moindre privilège, en n'accordant que les autorisations requises pour effectuer des tâches sur des ressources partagées.  
Vous définissez votre propre autorisation pour un type de ressource dans un partage de ressources avec la possibilité d'ajouter des conditions telles que des [clés contextuelles globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) et [des clés spécifiques au service](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) afin de spécifier les conditions dans lesquelles les principaux ont accès à la ressource. Ces autorisations peuvent être utilisées dans un ou plusieurs AWS RAM partages. Les autorisations gérées par le client sont spécifiques à la région.

AWS RAM utilise les autorisations gérées comme entrée pour créer les [politiques basées sur les ressources pour les](#term-resource-based-policy) ressources que vous partagez.

## Version d'autorisation gérée
<a name="term-managed-permission-version"></a>

Toute modification apportée à une autorisation gérée est représentée comme une nouvelle version de cette autorisation gérée. La nouvelle version est la version par défaut pour tous les nouveaux partages de ressources. Pour chaque autorisation gérée, une version est toujours désignée comme version par défaut. Lorsque vous créez ou AWS créez une nouvelle version d'autorisation gérée, vous devez explicitement mettre à jour l'autorisation gérée pour chaque partage de ressources existant. Vous pouvez évaluer les modifications avant de les appliquer à votre partage de ressources au cours de cette étape. Tous les nouveaux partages de ressources utiliseront automatiquement la nouvelle version de l'autorisation gérée pour le type de ressource correspondant.

**AWS versions d'autorisations gérées**  
AWS gère toutes les modifications apportées aux autorisations AWS gérées. Ces modifications répondent à de nouvelles fonctionnalités ou suppriment les défauts découverts. Vous ne pouvez appliquer la version d'autorisation gérée par défaut qu'à vos partages de ressources.

**Versions d'autorisations gérées par le client**  
Vous gérez toutes les modifications apportées aux autorisations gérées par les clients. Vous pouvez créer une nouvelle version par défaut, définir une ancienne version comme version par défaut ou supprimer des versions qui ne sont plus associées à des partages de ressources. Chaque autorisation gérée par le client peut avoir jusqu'à cinq versions.

Lorsque vous créez ou mettez à jour un partage de ressources, vous ne pouvez joindre que la version par défaut de l'autorisation gérée spécifiée. Pour de plus amples informations, veuillez consulter [Mise à jour des autorisations AWS gérées vers une version plus récente](working-with-sharing-update-permissions.md).

# Partage de vos AWS ressources
<a name="getting-started-sharing"></a>

Pour partager une ressource dont vous êtes propriétaire en utilisant AWS RAM, procédez comme suit :
+ [Activez le partage des ressources au sein de AWS Organizations](#getting-started-sharing-orgs) (facultatif)
+ [Création d’un partage de ressources](#getting-started-sharing-create)

**Remarques**  
Le partage d'une ressource avec des personnes extérieures au Compte AWS propriétaire de la ressource ne modifie pas les autorisations ou les quotas qui s'appliquent à la ressource dans le compte qui l'a créée.
AWS RAM est un service régional. Les principaux partenaires avec lesquels vous partagez peuvent accéder aux partages de ressources uniquement dans le pays Régions AWS dans lequel les ressources ont été créées.
Certaines ressources font l'objet de considérations particulières et de conditions préalables au partage. Pour de plus amples informations, veuillez consulter [Ressources partageables AWS](shareable.md).

## Activez le partage des ressources au sein de AWS Organizations
<a name="getting-started-sharing-orgs"></a>

Lorsque votre compte est géré par AWS Organizations, vous pouvez en profiter pour partager des ressources plus facilement. Avec ou sans Organizations, un utilisateur peut partager avec des comptes individuels. Toutefois, si votre compte appartient à une organisation, vous pouvez le partager avec des comptes individuels, ou avec tous les comptes de l'organisation ou d'une unité d'organisation sans avoir à énumérer chaque compte.

Pour partager des ressources au sein d'une organisation, vous devez d'abord utiliser la AWS RAM console ou AWS Command Line Interface (AWS CLI) pour activer le partage avec AWS Organizations. Lorsque vous partagez des ressources au sein de votre organisation, AWS RAM il n'envoie pas d'invitations aux principaux. Les responsables de votre organisation ont accès aux ressources partagées sans avoir à échanger d'invitations.

Lorsque vous activez le partage des ressources au sein de votre organisation, AWS RAM crée un rôle lié à un service appelé. `AWSServiceRoleForResourceAccessManager` Ce rôle ne peut être assumé que par le AWS RAM service et accorde AWS RAM l'autorisation de récupérer des informations sur l'organisation dont il est membre, à l'aide de la politique AWS gérée`AWSResourceAccessManagerServiceRolePolicy`. 

**Note**  
Par défaut, lorsque vous activez le partage avec AWS Organizations, le partage des ressources au sein de votre organisation restreint l'accès aux utilisateurs de la même organisation. Si un compte client quitte l'organisation, ce compte perd l'accès aux ressources du partage de ressources. Cette restriction s'applique que vous partagiez des ressources avec une unité d'organisation, l'ensemble de l'organisation ou un compte individuel au sein de l'organisation.  
Pour account-to-account le partage au sein de votre organisation, vous pouvez conserver l'accès au partage lorsque les comptes le quittent en `RetainSharingOnAccountLeaveOrganization` configurant le `True` moment où vous créez un nouveau partage de ressources. Lorsque ce paramètre est activé, AWS RAM envoie une invitation au compte consommateur (similaire au partage avec des comptes externes). Le compte conserve l'accès aux ressources partagées même s'il quitte l'organisation.  
Le `RetainSharingOnAccountLeaveOrganization` paramètre présente les exigences et limites suivantes :  
Nécessite `allowExternalPrincipals` d'être `True`
Ne peut être défini que lors de la création de nouveaux partages de ressources
Ne s'applique pas au partage avec OUs ou avec l'ensemble de l'organisation
Lorsque `RetainSharingOnAccountLeaveOrganization` ce paramètre est défini sur`True`, vous ne pouvez pas utiliser les partages de ressources pour partager des ressources qui [ne peuvent être partagées qu'au sein d'une organisation](shareable.html).

Si vous n'avez plus besoin de partager des ressources avec l'ensemble de votre organisation OUs, vous pouvez désactiver le partage des ressources. Pour de plus amples informations, veuillez consulter [Désactiver le partage de ressources avec AWS Organizations](security-disable-sharing-with-orgs.md).

**Autorisations minimales**

Pour exécuter les procédures ci-dessous, vous devez vous connecter en tant que principal au compte de gestion de l'organisation disposant des autorisations suivantes :
+ `ram:EnableSharingWithAwsOrganization`
+ `iam:CreateServiceLinkedRole`
+ `organizations:enableAWSServiceAccess`
+ `organizations:DescribeOrganization`

**Exigences**
+ Vous ne pouvez effectuer ces étapes que lorsque vous êtes connecté en tant que principal dans le compte de gestion de l'organisation.
+ Toutes les fonctionnalités de l'organisation doivent être activées. Pour plus d'informations, consultez la section [Activation de toutes les fonctionnalités de votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dans le *Guide de AWS Organizations l'utilisateur*.

**Important**  
Vous devez activer le partage avec à AWS Organizations l'aide de la AWS RAM console ou de la AWS CLI commande [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html). Cela garantit que le`AWSServiceRoleForResourceAccessManager` rôle lié à un service est créé. Si vous activez l'accès sécurisé à l'aide AWS Organizations de la AWS Organizations console ou de la [ enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) AWS CLI commande, le rôle `AWSServiceRoleForResourceAccessManager` lié au service n'est pas créé et vous ne pouvez pas partager de ressources au sein de votre organisation.

------
#### [ Console ]

**Pour activer le partage des ressources au sein de votre organisation**

1. Ouvrez la page **[Paramètres](https://console.aws.amazon.com/ram/home#Settings:)** dans la AWS RAM console.

1. Choisissez **Activer le partage avec AWS Organizations**, puis sélectionnez **Enregistrer les paramètres**.

------
#### [ AWS CLI ]

**Pour activer le partage des ressources au sein de votre organisation**  
Utilisez la commande [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html).

Cette commande peut être utilisée dans n'importe quelle région Région AWS, et elle permet le partage avec AWS Organizations toutes les régions prises en charge. AWS RAM 

```
$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}
```

------

## Création d’un partage de ressources
<a name="getting-started-sharing-create"></a>

Pour partager des ressources dont vous êtes propriétaire, créez un partage de ressources. Voici la procédure générale :

1. Ajoutez les ressources que vous souhaitez partager.

1. Pour chaque type de ressource que vous incluez dans le partage, spécifiez l'[autorisation gérée](getting-started-terms-and-concepts.md#term-managed-permission) à utiliser pour ce type de ressource.
   + Vous pouvez choisir entre l'une des autorisations AWS gérées disponibles, une autorisation gérée par le client existante ou créer une nouvelle autorisation gérée par le client.
   + AWS les autorisations gérées sont créées par AWS pour couvrir les cas d'utilisation standard.
   + Les autorisations gérées par le client vous permettent de personnaliser vos propres autorisations gérées pour répondre à vos besoins commerciaux et de sécurité.
**Note**  
Si l'autorisation gérée sélectionnée comporte plusieurs versions, elle associe AWS RAM automatiquement la version par défaut. Vous ***ne*** pouvez joindre que la version désignée par défaut.

1. Spécifiez les principaux auxquels vous souhaitez avoir accès aux ressources.

**Considérations**
+ Si vous devez ultérieurement supprimer une AWS ressource que vous avez incluse dans un partage, nous vous recommandons de supprimer d'abord la ressource de tout partage de ressources qui l'inclut ou de supprimer le partage de ressources.
+ Les types de ressources que vous pouvez inclure dans un partage de ressources sont répertoriés sur[Ressources partageables AWS](shareable.md).
+ Vous ne pouvez partager une ressource que si elle vous [appartient](getting-started-terms-and-concepts.md#term-sharing-account). Vous ne pouvez pas partager une ressource partagée avec vous.
+ AWS RAM est un service régional. Lorsque vous partagez une ressource avec des responsables d'autres entités Comptes AWS, ces derniers doivent accéder à chaque ressource depuis la même source Région AWS que celle dans laquelle elle a été créée. Pour les ressources globales prises en charge, vous pouvez accéder à ces ressources à partir de toutes Région AWS les ressources prises en charge par la console de service et les outils de cette ressource. Vous pouvez consulter ces partages de ressources et leurs ressources globales dans la AWS RAM console et les outils uniquement dans la région d'origine désignée, à savoir l'est des États-Unis (Virginie du Nord)`us-east-1`. Pour plus d'informations AWS RAM et pour obtenir des ressources globales, consultez[Partage des ressources régionales par rapport aux ressources mondiales](working-with-regional-vs-global.md).
+ Si le compte à partir duquel vous partagez fait partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, tous les directeurs de l'organisation avec lesquels vous partagez des ressources sont automatiquement autorisés à accéder aux partages de ressources sans avoir à recourir à des invitations. Le responsable d'un compte avec lequel vous partagez des ressources en dehors du contexte d'une organisation reçoit une invitation à rejoindre le partage des ressources et n'a accès aux ressources partagées qu'après avoir accepté l'invitation.
+ Si vous partagez avec un directeur de service, vous ne pouvez associer aucun autre principal au partage de ressources.
+ Si le partage s'effectue entre des comptes ou des principaux membres d'une organisation, toute modification apportée à l'adhésion à l'organisation affecte de manière dynamique l'accès au partage des ressources. 
  + Si vous ajoutez Compte AWS à l'organisation ou à une unité d'organisation ayant accès à un partage de ressources, ce nouveau compte de membre accède automatiquement au partage de ressources. L'administrateur du compte avec lequel vous avez partagé peut ensuite autoriser les principaux de ce compte à accéder aux ressources de ce partage. 
  + Si vous supprimez un compte de l'organisation ou une unité d'organisation ayant accès à un partage de ressources, tous les principaux de ce compte perdent automatiquement l'accès aux ressources accessibles via ce partage de ressources. 
  + Si vous avez partagé directement avec un compte membre ou avec des rôles ou utilisateurs IAM dans le compte membre, puis que vous supprimez ce compte de l'organisation, tous les principaux de ce compte perdent l'accès aux ressources accessibles via ce partage de ressources.
**Important**  
Lorsque vous partagez avec une organisation ou une unité d'organisation, et que cette étendue inclut le compte propriétaire du partage de ressources, tous les principaux du compte de partage ont automatiquement accès aux ressources du partage. L'accès accordé est défini par les autorisations gérées associées au partage. Cela est dû au fait que la politique basée sur les ressources qui AWS RAM s'attache à chaque ressource du partage utilise. `"Principal": "*"` Pour de plus amples informations, veuillez consulter [Implications de l'utilisation "Principal": "\$1" dans le cadre d'une politique basée sur les ressources](getting-started-terms-and-concepts.md#term-principal-star).  
Les directeurs des autres comptes consommateurs n'ont pas immédiatement accès aux ressources de l'action. Les administrateurs des autres comptes doivent d'abord associer des politiques d'autorisation basées sur l'identité aux principaux appropriés. Ces politiques doivent accorder l'`Allow`accès aux ressources individuelles ARNs du partage de ressources. Les autorisations définies dans ces politiques ne peuvent pas dépasser celles spécifiées dans l'autorisation gérée associée au partage de ressources.
+ Vous ne pouvez ajouter que l'organisation dont votre compte est membre, et OUs depuis cette organisation à vos partages de ressources. Vous ne pouvez pas ajouter OUs d'organisations extérieures à votre propre organisation à un partage de ressources en tant que responsables. Toutefois, vous pouvez ajouter des rôles IAM individuels Comptes AWS ou, pour les services pris en charge, des rôles IAM et des utilisateurs extérieurs à votre organisation en tant que principaux d'un partage de ressources.
**Note**  
Les types de ressource ne peuvent pas tous être partagés avec les utilisateurs et les rôles IAM. Pour plus d'informations sur les ressources que vous pouvez partager avec ces responsables, consultez[Ressources partageables AWS](shareable.md).
+ Pour les types de ressources suivants, vous avez sept jours pour accepter l'invitation à rejoindre le partage pour les types de ressources suivants. Si vous n'acceptez pas l'invitation avant son expiration, elle est automatiquement refusée.
**Important**  
Pour les types de ressources partagées **ne figurant pas** dans la liste suivante, vous avez **12 heures** pour accepter l'invitation à rejoindre le partage de ressources. Au bout de 12 heures, l'invitation expire et l'utilisateur final principal du partage de ressources est dissocié. L'invitation ne peut plus être acceptée par les utilisateurs finaux.
  + Amazon Aurora — Clusters de bases de données
  + Amazon EC2 : réservations de capacité et hôtes dédiés
  + AWS License Manager — Configurations de licence
  + AWS Outposts — Tables de routage, avant-postes et sites des passerelles locales 
  + Amazon Route 53 — Règles de transfert
  + Amazon VPC : IPv4 adresses appartenant au client, listes de préfixes, sous-réseaux, cibles miroir du trafic, passerelles de transit, domaines de multidiffusion de passerelles de transit

------
#### [ Console ]

**Pour créer un partage de ressources**

1. Ouvrez la [AWS RAM console](https://console.aws.amazon.com/ram/home).

1. Étant donné que les partages de AWS RAM ressources existent de manière spécifique Régions AWS, choisissez le partage approprié Région AWS dans la liste déroulante située dans le coin supérieur droit de la console. Pour voir les partages de ressources contenant des ressources globales, vous devez Région AWS définir la valeur USA Est (Virginie du Nord), (`us-east-1`). Pour plus d'informations sur le partage de ressources globales, consultez[Partage des ressources régionales par rapport aux ressources mondiales](working-with-regional-vs-global.md). Si vous souhaitez inclure des ressources mondiales dans le partage des ressources, vous devez choisir la région d'origine désignée, USA Est (Virginie du Nord)`us-east-1`.

1. Si vous êtes nouveau dans ce AWS RAM domaine, choisissez **Créer un partage de ressources** sur la page d'accueil. Sinon, choisissez **Créer un partage de ressources** sur la page **[Partagé par moi : partages de ressources](https://console.aws.amazon.com/ram/home#OwnedResourceShares:)**.

1. À **l'étape 1 : Spécifier les détails du partage des ressources**, procédez comme suit :

   1. Sous **Nom**, saisissez un nom descriptif pour le partage de ressources.

   1. Sous **Ressources**, choisissez les ressources à ajouter au partage de ressources comme suit :
      + Pour **Sélectionner le type de ressource**, choisissez le type de ressource à partager. Cela filtre la liste des ressources partageables uniquement pour les ressources du type sélectionné.
      + Dans la liste des ressources qui s'affiche, cochez les cases à côté des ressources individuelles que vous souhaitez partager. Les ressources sélectionnées sont déplacées sous **Ressources sélectionnées**.

        Si vous partagez des ressources associées à une zone de disponibilité spécifique, l'utilisation de l'ID de zone de disponibilité (AZ ID) vous permet de déterminer l'emplacement relatif de ces ressources sur tous les comptes. Pour de plus amples informations, veuillez consulter [Zone de disponibilité IDs pour vos AWS ressources](working-with-az-ids.md).

   1. (Facultatif) Pour [associer des balises](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) au partage de ressources, sous **Balises**, entrez une clé et une valeur de balise. Ajoutez-en d'autres en choisissant **Ajouter un nouveau tag**. Répétez cette étape autant de fois que nécessaire. Ces balises s'appliquent uniquement au partage de ressources lui-même, et non aux ressources du partage de ressources.

1. Choisissez **Suivant**.

1. À l'**étape 2 : associer une autorisation gérée à chaque type de ressource**, vous pouvez choisir d'associer une autorisation gérée créée par AWS au type de ressource, choisir une autorisation gérée par le client existante ou créer votre propre autorisation gérée par le client pour les types de ressources pris en charge. Pour de plus amples informations, veuillez consulter [Types d'autorisations gérées](security-ram-permissions.md#permissions-types).

   Choisissez **Créer une autorisation gérée par le client** pour créer une autorisation gérée par le client qui répond aux exigences de votre cas d'utilisation du partage. Pour de plus amples informations, veuillez consulter [Création d'une autorisation gérée par le client](create-customer-managed-permissions.md#create_cmp). Une fois le processus terminé, choisissez, ![\[Refresh icon\]](http://docs.aws.amazon.com/fr_fr/ram/latest/userguide/images/refresh_icon.PNG) puis vous pouvez sélectionner l'autorisation gérée par votre nouveau client dans la liste déroulante **Autorisations gérées**.
**Note**  
Si l'autorisation gérée sélectionnée comporte plusieurs versions, elle associe AWS RAM automatiquement la version par défaut. Vous ***ne pouvez joindre que*** la version désignée par défaut.

   Pour afficher les actions autorisées par l'autorisation gérée, développez **Afficher le modèle de politique pour cette autorisation gérée**.

1. Choisissez **Suivant**.

1. À **l'étape 3 : Accorder l'accès aux principaux**, procédez comme suit :

   1. Par défaut, l'option **Autoriser le partage avec n'importe** qui est sélectionnée, ce qui signifie que, pour les types de ressources compatibles, vous pouvez partager des ressources extérieures à votre organisation. Comptes AWS Cela n'affecte pas les types de ressources qui ne peuvent être partagés *qu'*au sein d'une organisation, tels que les sous-réseaux Amazon VPC. Vous pouvez également partager certains [types de ressources pris en charge](shareable.md) avec des rôles et des utilisateurs IAM.

      Pour limiter le partage des ressources aux seuls comptes et aux principaux de votre organisation, choisissez **Autoriser le partage uniquement au sein de votre organisation**.

   1. Pour **les directeurs**, procédez comme suit :
      + Pour ajouter l'organisation, une unité organisationnelle (UO) ou une unité Compte AWS faisant partie d'une organisation, activez **Afficher la structure organisationnelle**. Cela affiche une vue arborescente de votre organisation. Cochez ensuite la case à côté de chaque principal que vous souhaitez ajouter.
**Important**  
Lorsque vous partagez avec une organisation ou une unité d'organisation, et que cette étendue inclut le compte propriétaire du partage de ressources, tous les principaux du compte de partage ont automatiquement accès aux ressources du partage. L'accès accordé est défini par les autorisations gérées associées au partage. Cela est dû au fait que la politique basée sur les ressources qui AWS RAM s'attache à chaque ressource du partage utilise. `"Principal": "*"` Pour de plus amples informations, veuillez consulter [Implications de l'utilisation "Principal": "\$1" dans le cadre d'une politique basée sur les ressources](getting-started-terms-and-concepts.md#term-principal-star).  
Les directeurs des autres comptes consommateurs n'ont pas immédiatement accès aux ressources de l'action. Les administrateurs des autres comptes doivent d'abord associer des politiques d'autorisation basées sur l'identité aux principaux appropriés. Ces politiques doivent accorder l'`Allow`accès aux ressources individuelles ARNs du partage de ressources. Les autorisations définies dans ces politiques ne peuvent pas dépasser celles spécifiées dans l'autorisation gérée associée au partage de ressources.
        + Si vous sélectionnez l'organisation (l'ID commence par`o-`), les Comptes AWS principaux membres de l'organisation peuvent accéder au partage des ressources. 
        + Si vous sélectionnez une unité d'organisation (l'ID commence par`ou-`), les Comptes AWS principaux membres de cette unité d'organisation et son enfant OUs peuvent accéder au partage des ressources.
        + Si vous sélectionnez une personne Compte AWS, seuls les principaux de ce compte peuvent accéder au partage des ressources.
**Note**  
Le bouton **Afficher la structure organisationnelle** apparaît uniquement si le partage avec AWS Organizations est activé et si vous êtes connecté au compte de gestion de l'organisation.  
Vous ne pouvez pas utiliser cette méthode pour spécifier un rôle ou un utilisateur Compte AWS externe à votre organisation, ni un rôle ou un utilisateur IAM. Vous devez plutôt désactiver **Afficher la structure organisationnelle** et utiliser la liste déroulante et la zone de texte pour saisir l'ID ou l'ARN.
      + Pour spécifier un principal par ID ou ARN, y compris les principaux extérieurs à l'organisation, sélectionnez le type de principal pour chaque principal. Entrez ensuite l'ID (pour une organisation ou une Compte AWS unité d'organisation) ou l'ARN (pour un rôle ou un utilisateur IAM), puis choisissez **Ajouter**. Les principaux types et formats d'ID et d'ARN disponibles sont les suivants :
        + **Compte AWS**— Pour ajouter un Compte AWS, entrez l'identifiant de compte à 12 chiffres. Par exemple :

          `123456789012`
        + **Organisation** : pour ajouter tous les éléments Comptes AWS de votre organisation, entrez l'ID de l'organisation. Par exemple :

          `o-abcd1234`
        + **Unité organisationnelle (UO)** : pour ajouter une UO, entrez l'ID de l'UO. Par exemple :

          `ou-abcd-1234efgh`
        + **Rôle IAM** : pour ajouter un rôle IAM, entrez l'ARN du rôle. Utilisez la syntaxe suivante :

          `arn:partition:iam::account:role/role-name`

          Par exemple :

          `arn:aws:iam::123456789012:role/MyS3AccessRole`
**Note**  
Pour obtenir l'ARN unique d'un rôle IAM, [consultez la liste des rôles dans la console IAM](https://console.aws.amazon.com/iamv2/home?#/roles), utilisez la AWS CLI commande [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) ou l'action API. [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
        + **Utilisateur IAM** : pour ajouter un utilisateur IAM, entrez son ARN. Utilisez la syntaxe suivante :

          `arn:partition:iam::account:user/user-name`

          Par exemple :

          `arn:aws:iam::123456789012:user/bob`
**Note**  
Pour obtenir l'ARN unique d'un utilisateur IAM, [consultez la liste des utilisateurs dans la console IAM](https://console.aws.amazon.com/iamv2/home?#/users), utilisez la [https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) AWS CLI commande ou l'action de l'[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)API.
      +  **Principal de service** — Pour ajouter un principal de service, choisissez **Service principal** dans la boîte de **dialogue Sélectionner le type principal**. Entrez le nom du directeur du AWS service. Utilisez la syntaxe suivante : 
        + `service-id.amazonaws.com`

          Par exemple :

          `pca-connector-ad.amazonaws.com`

   1. Pour les **principes sélectionnés**, vérifiez que les principaux que vous avez spécifiés apparaissent dans la liste.

1. Choisissez **Suivant**.

1. À **l'étape 4 : révision et création**, passez en revue les détails de configuration de votre partage de ressources. Pour modifier la configuration d'une étape, choisissez le lien correspondant à l'étape à laquelle vous souhaitez revenir et apportez les modifications requises.

1. Après avoir passé en revue le partage de ressources, choisissez **Créer un partage de ressources**.

   L’association entre la ressource et le mandataire peut prendre quelques minutes. Laissez ce processus se terminer avant d'essayer d'utiliser le partage de ressources.

1. Vous pouvez ajouter et supprimer des ressources et des principes ou appliquer des balises personnalisées à votre partage de ressources à tout moment. Vous pouvez modifier l'autorisation gérée pour les types de ressources inclus dans votre partage de ressources, pour les types qui prennent en charge plus que l'autorisation gérée par défaut. Vous pouvez supprimer votre partage de ressources lorsque vous ne souhaitez plus partager les ressources. Pour de plus amples informations, veuillez consulter [Partagez AWS les ressources qui vous appartiennent](working-with-sharing.md).

------
#### [ AWS CLI ]

**Pour créer un partage de ressources**  
Utilisez la commande [https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html). La commande suivante crée un partage de ressources qui est partagé avec tous les membres Comptes AWS de l'organisation. Le partage contient une configuration de AWS License Manager licence et accorde les autorisations gérées par défaut pour ce type de ressource.

**Note**  
Si vous souhaitez utiliser une autorisation gérée par le client avec un type de ressource dans ce partage de ressources, vous pouvez soit utiliser une autorisation gérée par le client existante, soit créer une nouvelle autorisation gérée par le client. Notez l'ARN de l'autorisation gérée par le client, puis créez le partage de ressources. Pour de plus amples informations, veuillez consulter [Création d'une autorisation gérée par le client](create-customer-managed-permissions.md#create_cmp).

```
$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}
```

------

# Utilisation de AWS ressources partagées
<a name="getting-started-shared"></a>

Pour commencer à utiliser les ressources partagées avec votre compte AWS Resource Access Manager, effectuez les tâches suivantes.

**Topics**
+ [Répondre à l'invitation de partage de ressources](#getting-started-shared-respond-invitation)
+ [Utilisez les ressources partagées avec vous](#getting-started-shared-use-resources)

## Répondre à l'invitation de partage de ressources
<a name="getting-started-shared-respond-invitation"></a>

Si vous recevez une invitation à rejoindre un partage de ressources, vous devez l'accepter pour accéder aux ressources partagées. 

Les invitations ne sont pas utilisées dans les scénarios suivants :
+ Si vous faites partie d'une organisation AWS Organizations et que le partage au sein de votre organisation est activé, les responsables de l'organisation ont automatiquement accès aux ressources partagées sans invitation.
+ Si vous partagez avec Compte AWS le propriétaire de la ressource, les principaux de ce compte ont automatiquement accès aux ressources partagées sans invitation.

------
#### [ Console ]

**Pour répondre aux invitations**

1. Ouvrez la page **[Partagé avec moi : partage de ressources](https://console.aws.amazon.com/ram/home#SharedResourceShares:)** dans la AWS RAM console.
**Note**  
Un partage de ressources n'est visible que dans celui Région AWS dans lequel il a été créé. Si le partage de ressources attendu n'apparaît pas dans la console, vous devrez peut-être passer à un autre Région AWS en utilisant le menu déroulant situé dans le coin supérieur droit.

1. Consultez la liste des partages de ressources auxquels vous avez obtenu l'accès.

   La colonne **État** indique votre statut de participation actuel pour le partage des ressources. Le `Pending` statut indique que vous avez été ajouté à un partage de ressources, mais que vous n'avez pas encore accepté ou rejeté l'invitation.

1. Pour répondre à l'invitation de partage de ressources, sélectionnez l'ID de partage de ressources et choisissez **Accepter le partage de ressources** pour accepter l'invitation, ou **Rejeter le partage de ressources** pour refuser l'invitation. Si vous rejetez l'invitation, vous n'aurez pas accès aux ressources. Si vous acceptez l'invitation, vous avez accès aux ressources.

------
#### [ AWS CLI ]

Pour commencer, obtenez une liste des invitations à partager des ressources qui sont à votre disposition. L'exemple de commande suivant a été exécuté dans la `us-west-2` région et montre qu'un partage de ressources est disponible dans l'`PENDING`État.

```
$ aws ram get-resource-share-invitations
{
    "resourceShareInvitations": [
        {
            "resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
            "resourceShareName": "MyNewResourceShare",
            "resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
            "senderAccountId": "111122223333",
            "receiverAccountId": "444455556666",
            "invitationTimestamp": "2021-09-15T15:00:32.568000-07:00",
            "status": "PENDING"
        }
    ]
}
```

Vous pouvez utiliser l'Amazon Resource Name (ARN) de l'invitation de la commande précédente comme paramètre dans la commande suivante pour accepter cette invitation.

```
$ aws ram accept-resource-share-invitation \
    --resource-share-invitation-arn arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111
{
    "resourceShareInvitation": {
        "resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
        "resourceShareName": "MyNewResourceShare",
        "resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
        "senderAccountId": "111122223333",
        "receiverAccountId": "444455556666",
        "invitationTimestamp": "2021-09-15T15:14:12.580000-07:00",
        "status": "ACCEPTED"
    }
}
```

La sortie indique que le `status` est devenu`ACCEPTED`. Les ressources incluses dans ce partage de ressources sont désormais accessibles aux principaux du compte d'acceptation.

------

## Utilisez les ressources partagées avec vous
<a name="getting-started-shared-use-resources"></a>

Après avoir accepté l'invitation à rejoindre un partage de ressources, vous pouvez effectuer des actions spécifiques sur les ressources partagées. Ces actions varient selon le type de ressource. Pour de plus amples informations, veuillez consulter [Ressources partageables AWS](shareable.md). Les ressources sont disponibles directement dans la console de service et les API/CLI opérations de chaque ressource. Si la ressource est régionale, vous devez utiliser la bonne option dans la console de service ou Région AWS dans la commande API/CLI. Si la ressource est globale, vous devez utiliser la région d'origine désignée, USA Est (Virginie du Nord). `us-east-1` Pour afficher la ressource AWS RAM, vous devez ouvrir la AWS RAM console dans Région AWS laquelle le partage de ressources a été créé.