Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memulai dengan AWS RAM
<a name="getting-started"></a>

Dengan AWS Resource Access Manager, Anda dapat berbagi sumber daya yang Anda miliki dengan orang lain Akun AWS. Jika akun Anda dikelola oleh AWS Organizations, Anda juga dapat berbagi sumber daya dengan akun lain di organisasi Anda. Anda juga dapat menggunakan sumber daya yang dibagikan dengan Anda oleh orang lain Akun AWS. 

Jika Anda tidak mengaktifkan berbagi di dalam AWS Organizations, Anda tidak dapat berbagi sumber daya dengan organisasi Anda atau dengan unit organisasi (OU) di organisasi Anda. Namun, Anda masih dapat berbagi sumber daya dengan individu Akun AWS di organisasi Anda. Untuk [jenis sumber daya yang didukung](shareable.md), Anda juga dapat berbagi sumber daya dengan peran individu AWS Identity and Access Management (IAM) atau pengguna di organisasi Anda. Dalam hal ini, prinsipal ini diperlakukan seolah-olah mereka adalah akun eksternal, bukan sebagai bagian dari organisasi Anda. Mereka menerima undangan untuk bergabung dengan pembagian sumber daya, dan mereka harus menerima undangan untuk mendapatkan akses ke sumber daya bersama.

**Topics**
+ [Istilah dan konsep](getting-started-terms-and-concepts.md)
+ [Berbagi sumber daya Anda](getting-started-sharing.md)
+ [Menggunakan sumber daya bersama](getting-started-shared.md)

# Syarat dan konsep untuk AWS RAM
<a name="getting-started-terms-and-concepts"></a>

Konsep berikut membantu menjelaskan bagaimana Anda dapat menggunakan AWS Resource Access Manager (AWS RAM) untuk berbagi sumber daya Anda.

## Berbagi sumber daya
<a name="term-resource-share"></a>

Anda berbagi sumber daya menggunakan AWS RAM dengan membuat *pembagian sumber daya*. Pembagian sumber daya memiliki tiga elemen berikut:
+ Daftar satu atau lebih AWS sumber daya untuk dibagikan.
+ Daftar satu atau lebih [kepala sekolah](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) kepada siapa akses ke sumber daya diberikan.
+ [Izin terkelola](#term-managed-permission) untuk setiap jenis sumber daya yang Anda sertakan dalam pembagian. Setiap izin terkelola berlaku untuk semua sumber daya jenis itu dalam pembagian sumber daya tersebut.

Setelah Anda menggunakan AWS RAM untuk membuat pembagian sumber daya, prinsipal yang ditentukan dalam pembagian sumber daya dapat diberikan akses ke sumber daya berbagi.
+ Jika Anda mengaktifkan AWS RAM berbagi dengan AWS Organizations, dan prinsipal yang Anda bagikan berada di organisasi yang sama dengan akun berbagi, prinsipal tersebut dapat menerima akses segera setelah administrator akun mereka memberi mereka izin untuk menggunakan sumber daya menggunakan kebijakan izin (IAM). AWS Identity and Access Management 
+ Jika Anda tidak mengaktifkan AWS RAM berbagi dengan Organizations, Anda masih dapat berbagi sumber daya dengan individu Akun AWS yang ada di organisasi Anda. Administrator di akun konsumsi menerima undangan untuk bergabung dengan pembagian sumber daya, dan mereka harus menerima undangan sebelum kepala sekolah yang ditentukan dalam pembagian sumber daya dapat mengakses sumber daya bersama.
+ Anda juga dapat berbagi dengan akun di luar organisasi Anda, jika jenis sumber daya mendukungnya. Administrator di akun konsumsi menerima undangan untuk bergabung dengan pembagian sumber daya, dan mereka harus menerima undangan sebelum kepala sekolah yang ditentukan dalam pembagian sumber daya dapat mengakses sumber daya bersama. Untuk informasi tentang jenis sumber daya yang mendukung jenis berbagi ini, lihat [Sumber daya yang dapat dibagikan AWS](shareable.md) dan lihat kolom **Dapat berbagi dengan akun di luar organisasinya**.

## Berbagi akun
<a name="term-sharing-account"></a>

*Akun berbagi* berisi sumber daya yang dibagikan dan di mana AWS RAM administrator membuat pembagian AWS sumber daya dengan menggunakan AWS RAM. 

 AWS RAM Administrator adalah prinsipal IAM yang memiliki izin untuk membuat dan mengonfigurasi pembagian sumber daya di file. Akun AWS Karena AWS RAM berfungsi dengan melampirkan kebijakan berbasis sumber daya ke sumber daya dalam pembagian sumber daya, AWS RAM administrator juga harus memiliki izin untuk memanggil `PutResourcePolicy` operasi Layanan AWS untuk setiap jenis sumber daya yang disertakan dalam pembagian sumber daya.

## Prinsip konsumsi
<a name="term-consuming-account"></a>

*Akun konsumsi* adalah tempat Akun AWS sumber daya dibagikan. Pembagian sumber daya dapat menentukan seluruh akun sebagai prinsipal, atau untuk beberapa jenis sumber daya, peran individu, atau pengguna dalam akun. Untuk informasi tentang jenis sumber daya yang mendukung jenis berbagi ini, lihat [Sumber daya yang dapat dibagikan AWS](shareable.md) dan lihat kolom **Dapat berbagi dengan peran & pengguna IAM**.

AWS RAM juga mendukung prinsip layanan sebagai konsumen pembagian sumber daya. Untuk informasi tentang jenis sumber daya yang mendukung jenis berbagi ini, lihat [Sumber daya yang dapat dibagikan AWS](shareable.md) dan lihat kolom **Dapat berbagi dengan prinsipal layanan**.

 Prinsipal di akun konsumsi hanya dapat melakukan tindakan yang diizinkan oleh ***kedua izin*** berikut:
+ Izin terkelola yang dilampirkan ke pembagian sumber daya. Ini menentukan izin *maksimum* yang dapat diberikan kepada prinsipal di akun konsumsi.
+ Kebijakan berbasis identitas IAM yang dilampirkan pada peran individu atau pengguna oleh administrator IAM di akun konsumsi. Kebijakan tersebut harus memberikan `Allow` akses ke tindakan yang ditentukan dan ke [Nama Sumber Daya Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) sumber daya di akun berbagi.

AWS RAM mendukung tipe utama IAM berikut sebagai konsumen pembagian sumber daya:
+ **Lain Akun AWS** - Pembagian sumber daya membuat sumber daya yang disertakan dalam akun berbagi tersedia untuk akun konsumen. 
+ **Peran IAM individu atau pengguna di akun lain** — Beberapa jenis sumber daya mendukung berbagi langsung dengan peran IAM individu atau pengguna. Tentukan tipe utama ini dengan ARN-nya.
  + **Peran IAM** — `arn:aws:iam::123456789012:role/rolename`
  + **Pengguna IAM** - `arn:aws:iam::123456789012:user/username`
+ **Prinsipal layanan** — Bagikan sumber daya dengan AWS layanan untuk memberikan akses layanan ke pembagian sumber daya. Pembagian utama layanan memungkinkan AWS layanan untuk mengambil tindakan atas nama Anda untuk meringankan beban operasional. 

  Untuk berbagi dengan kepala layanan, pilih untuk mengizinkan berbagi dengan siapa pun, dan kemudian, di bawah **Pilih jenis utama, pilih Prinsipal** **layanan** dari daftar tarik-turun. Tentukan nama kepala layanan dalam format berikut:
  + `service-id.amazonaws.com`

  Untuk mengurangi risiko wakil yang bingung, kebijakan sumber daya menunjukkan ID akun pemilik sumber daya di kunci `aws:SourceAccount` kondisi.
+ **Akun dalam organisasi** — Jika akun berbagi dikelola oleh AWS Organizations, maka pembagian sumber daya dapat menentukan ID organisasi untuk dibagikan dengan semua akun di organisasi. Pembagian sumber daya dapat menentukan ID unit organisasi (OU) untuk dibagikan dengan semua akun di OU tersebut. Akun berbagi hanya dapat berbagi dengan organisasinya sendiri atau OU IDs dalam organisasinya sendiri. Tentukan akun dalam suatu organisasi oleh ARN organisasi atau OU.
  + **Semua akun dalam suatu organisasi** — Berikut ini adalah contoh ARN dari sebuah organisasi di: AWS Organizations

    `arn:aws:organizations::123456789012:organization/o-<orgid>`
  + **Semua akun di unit organisasi** - Berikut ini adalah contoh ARN dari ID OU:

    `arn:aws:organizations::123456789012:organization/o-<orgid>/ou-<rootid>-<ouid>`
**penting**  
Ketika Anda berbagi dengan organisasi atau OU, dan ruang lingkup tersebut mencakup akun yang memiliki pembagian sumber daya, semua kepala sekolah di akun berbagi secara otomatis mendapatkan akses ke sumber daya dalam pembagian. Akses yang diberikan ditentukan oleh izin terkelola yang terkait dengan pembagian. Ini karena kebijakan berbasis sumber daya yang AWS RAM melekat pada setiap sumber daya dalam penggunaan berbagi. `"Principal": "*"` Untuk informasi selengkapnya, lihat [Implikasi penggunaan "Principal": "\$1" dalam kebijakan berbasis sumber daya](#term-principal-star).  
Prinsipal di akun konsumsi lainnya tidak segera mendapatkan akses ke sumber daya saham. Administrator akun lain harus terlebih dahulu melampirkan kebijakan izin berbasis identitas ke kepala sekolah yang sesuai. Kebijakan tersebut harus memberikan `Allow` akses ke sumber ARNs daya individu dalam pembagian sumber daya. Izin dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang terkait dengan pembagian sumber daya.

## Kebijakan berbasis sumber daya
<a name="term-resource-based-policy"></a>

Kebijakan berbasis sumber daya adalah dokumen teks JSON yang menerapkan bahasa kebijakan IAM. Tidak seperti kebijakan berbasis identitas yang Anda lampirkan ke prinsipal, seperti peran IAM atau pengguna, Anda melampirkan kebijakan berbasis sumber daya ke sumber daya. AWS RAM kebijakan berbasis sumber daya penulis atas nama Anda berdasarkan informasi yang Anda berikan untuk pembagian sumber daya Anda. Anda harus menentukan elemen `Principal` kebijakan yang menentukan siapa yang dapat mengakses sumber daya. *Untuk informasi selengkapnya, lihat Kebijakan [berbasis identitas dan kebijakan berbasis sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) di Panduan Pengguna IAM.*

Kebijakan berbasis sumber daya yang dihasilkan oleh AWS RAM dievaluasi bersama dengan semua jenis kebijakan IAM lainnya. Ini termasuk setiap kebijakan berbasis identitas IAM yang dilampirkan pada prinsipal yang mencoba mengakses sumber daya, dan kebijakan kontrol layanan () SCPs untuk itu mungkin berlaku untuk. AWS Organizations Akun AWS Kebijakan berbasis sumber daya yang dihasilkan dengan AWS RAM berpartisipasi dalam logika evaluasi kebijakan yang sama seperti semua kebijakan IAM lainnya. Untuk detail lengkap tentang evaluasi kebijakan dan cara menentukan izin yang dihasilkan, lihat [Logika evaluasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) di *Panduan Pengguna IAM*.

AWS RAM memberikan pengalaman berbagi sumber daya yang sederhana dan aman dengan menyediakan kebijakan berbasis sumber daya easy-to-use abstraksi. 

Untuk jenis sumber daya yang mendukung kebijakan berbasis sumber daya, AWS RAM secara otomatis membuat dan mengelola kebijakan berbasis sumber daya untuk Anda. Untuk sumber daya tertentu, AWS RAM buat kebijakan berbasis sumber daya dengan menggabungkan informasi dari semua pembagian sumber daya yang mencakup sumber daya tersebut. Misalnya, pertimbangkan saluran Amazon SageMaker AI yang Anda bagikan dengan menggunakan AWS RAM dan sertakan dalam dua pembagian sumber daya yang berbeda. Anda dapat menggunakan satu pembagian sumber daya untuk menyediakan akses hanya-baca ke seluruh organisasi Anda. Anda kemudian dapat menggunakan pembagian sumber daya lainnya untuk hanya memberikan izin eksekusi SageMaker AI ke satu akun. AWS RAM secara otomatis menggabungkan dua set izin yang berbeda ke dalam kebijakan sumber daya tunggal dengan beberapa pernyataan. Kemudian melampirkan kebijakan berbasis sumber daya gabungan ke sumber daya pipa. Anda dapat melihat kebijakan sumber daya dasar ini dengan memanggil [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html)operasi. Layanan AWS kemudian gunakan kebijakan berbasis sumber daya tersebut untuk memberi wewenang kepada prinsipal mana pun yang mencoba melakukan tindakan pada sumber daya bersama. 

Meskipun Anda dapat secara manual membuat kebijakan berbasis sumber daya dan melampirkannya ke sumber daya Anda dengan menelepon`PutResourcePolicy`, kami sarankan Anda menggunakannya AWS RAM karena memberikan keuntungan berikut:
+ Dapat **ditemukan untuk konsumen berbagi** — Jika Anda berbagi sumber daya dengan menggunakan AWS RAM, pengguna dapat melihat semua sumber daya yang dibagikan dengan mereka secara langsung di konsol layanan yang memiliki sumber daya dan operasi API seolah-olah sumber daya tersebut langsung ada di akun pengguna. Misalnya, jika Anda berbagi AWS CodeBuild proyek dengan akun lain, pengguna di akun konsumer dapat melihat proyek di CodeBuild konsol dan hasil operasi CodeBuild API yang dilakukan. Sumber daya yang dibagikan dengan melampirkan kebijakan berbasis sumber daya secara langsung tidak terlihat seperti ini. Sebaliknya, Anda harus menemukan dan secara eksplisit merujuk ke sumber daya oleh ARN-nya.
+ **Pengelolaan untuk pemilik saham** — Jika Anda berbagi sumber daya dengan menggunakan AWS RAM, pemilik sumber daya di akun berbagi dapat melihat secara terpusat akun lain mana yang memiliki akses ke sumber daya mereka. Jika Anda berbagi sumber daya menggunakan kebijakan berbasis sumber daya, Anda dapat melihat akun pengguna hanya dengan memeriksa kebijakan untuk sumber daya individual di konsol layanan atau API yang relevan.
+ **Efisiensi** — Jika Anda berbagi sumber daya dengan menggunakan AWS RAM, Anda dapat berbagi banyak sumber daya dan mengelolanya sebagai satu unit. Sumber daya yang dibagikan hanya dengan menggunakan kebijakan berbasis sumber daya memerlukan kebijakan individual yang dilampirkan ke setiap sumber daya yang Anda bagikan.
+ **Kesederhanaan** — Dengan AWS RAM, Anda tidak perlu memahami bahasa kebijakan IAM berbasis JSON. AWS RAM memberikan izin ready-to-use AWS terkelola yang dapat Anda pilih untuk dilampirkan ke pembagian sumber daya Anda.

Dengan menggunakan AWS RAM, Anda bahkan dapat membagikan beberapa jenis sumber daya yang belum mendukung kebijakan berbasis sumber daya. Untuk jenis sumber daya tersebut, AWS RAM secara otomatis membuat kebijakan berbasis sumber daya sebagai representasi dari izin yang sebenarnya. Pengguna dapat melihat representasi ini dengan menelepon [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html). Ini termasuk jenis sumber daya berikut:
+ Amazon Aurora - kluster DB
+ Amazon EC2 — reservasi kapasitas dan host khusus
+ AWS License Manager - Konfigurasi lisensi
+ AWS Outposts — Tabel rute gateway lokal, pos terdepan, dan situs
+ Amazon Route 53 - Aturan penerusan
+ Amazon Virtual Private Cloud — IPv4 Alamat milik pelanggan, daftar awalan, subnet, target cermin lalu lintas, gateway transit, dan domain multicast gateway transit

### Contoh kebijakan berbasis sumber daya yang AWS RAM dihasilkan
<a name="rbp-examples"></a>

Jika Anda membagikan sumber daya gambar EC2 Image Builder dengan akun ***individual*** AWS RAM , buat kebijakan yang terlihat seperti contoh berikut dan lampirkan ke sumber daya gambar apa pun yang disertakan dalam pembagian sumber daya.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:root"
            },
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages"
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}
```

------

Jika Anda berbagi sumber daya gambar EC2 Image Builder dengan ***peran IAM atau*** pengguna Akun AWS lain AWS RAM , buat kebijakan yang terlihat seperti contoh berikut dan lampirkan ke sumber daya gambar apa pun yang disertakan dalam pembagian sumber daya.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/MySampleRole"
            },
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages"
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}
```

------

Jika Anda membagikan sumber daya gambar EC2 Image Builder dengan semua akun di organisasi atau dengan akun OU AWS RAM , buat kebijakan yang terlihat seperti contoh berikut dan lampirkan ke sumber daya gambar apa pun yang disertakan dalam pembagian sumber daya.

**catatan**  
Kebijakan ini menggunakan `"Principal": "*"` dan kemudian menggunakan `"Condition"` elemen untuk membatasi izin identitas yang cocok dengan yang ditentukan. `PrincipalOrgID` Untuk informasi selengkapnya, lihat [Implikasi penggunaan "Principal": "\$1" dalam kebijakan berbasis sumber daya](#term-principal-star).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages"
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-123456789"
                }
            }
        }
    ]
}
```

------

### Implikasi penggunaan "Principal": "\$1" dalam kebijakan berbasis sumber daya
<a name="term-principal-star"></a>

Saat Anda memasukkan `"Principal": "*"` dalam kebijakan berbasis sumber daya, kebijakan tersebut memberikan akses ke semua prinsip IAM di akun yang berisi sumber daya, tunduk pada batasan apa pun yang diberlakukan oleh elemen, jika ada. `Condition` `Deny`Pernyataan eksplisit dalam kebijakan apa pun yang berlaku untuk prinsipal panggilan akan mengesampingkan izin yang diberikan oleh kebijakan ini. Namun, ***implisit*** `Deny` (artinya kurangnya *eksplisit*`Allow`) dalam kebijakan identitas yang berlaku, kebijakan batas izin, atau kebijakan sesi ***tidak*** mengakibatkan kepada prinsipal yang diberikan akses `Deny` ke tindakan oleh kebijakan berbasis sumber daya tersebut.

Jika perilaku ini tidak diinginkan untuk skenario Anda, maka Anda dapat membatasi perilaku ini dengan menambahkan `Deny` pernyataan ***eksplisit*** ke kebijakan identitas, batas izin, atau kebijakan sesi yang memengaruhi peran dan pengguna yang relevan. 

## Izin terkelola
<a name="term-managed-permission"></a>

Izin terkelola menentukan tindakan apa yang dapat dilakukan oleh prinsipal dalam kondisi apa pada jenis sumber daya yang didukung dalam pembagian sumber daya. Saat membuat pembagian sumber daya, Anda harus menentukan izin terkelola mana yang akan digunakan untuk setiap jenis sumber daya yang disertakan dalam pembagian sumber daya. Izin terkelola mencantumkan kumpulan `actions` dan *kondisi* yang dapat dilakukan oleh prinsipal dengan sumber daya yang digunakan bersama. AWS RAM

Anda hanya dapat melampirkan satu izin terkelola untuk setiap jenis sumber daya dalam pembagian sumber daya. Anda tidak dapat membuat pembagian sumber daya di mana beberapa sumber daya dari jenis tertentu menggunakan satu izin terkelola dan sumber daya lain dari jenis yang sama menggunakan izin terkelola yang berbeda. Untuk melakukan itu, Anda perlu membuat dua pembagian sumber daya yang berbeda dan membagi sumber daya di antara mereka, memberikan setiap set izin terkelola yang berbeda. Ada dua jenis izin terkelola:

**AWS izin terkelola**  
AWS izin terkelola dibuat dan dikelola oleh AWS dan memberikan izin untuk skenario pelanggan umum. AWS RAM mendefinisikan setidaknya satu izin AWS terkelola untuk setiap jenis sumber daya yang didukung. Beberapa jenis sumber daya mendukung lebih dari satu izin AWS terkelola, dengan satu izin terkelola ditetapkan sebagai AWS default. [Izin AWS terkelola default](security-ram-permissions.md#permissions-types) dikaitkan kecuali Anda menentukan sebaliknya.

**Izin terkelola pelanggan**  
Izin terkelola pelanggan adalah izin terkelola yang Anda buat dan pertahankan dengan menentukan secara tepat tindakan mana yang dapat dilakukan dalam kondisi mana dengan sumber daya yang digunakan bersama. AWS RAM Misalnya, Anda ingin membatasi akses baca untuk kumpulan Amazon VPC IP Address Manager (IPAM), yang membantu Anda mengelola alamat IP Anda dalam skala besar. Anda dapat membuat izin terkelola pelanggan bagi pengembang Anda untuk menetapkan alamat IP, tetapi tidak melihat rentang alamat IP yang ditetapkan akun pengembang lain. Anda dapat mengikuti praktik terbaik dengan hak istimewa paling sedikit, hanya memberikan izin yang diperlukan untuk melakukan tugas pada sumber daya bersama.  
Anda menentukan izin Anda sendiri untuk jenis sumber daya dalam berbagi sumber daya dengan opsi untuk menambahkan kondisi seperti [Kunci Konteks Global dan kunci](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) [khusus layanan](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) untuk menentukan kondisi di mana prinsipal memiliki akses ke sumber daya. Izin ini dapat digunakan dalam satu atau lebih AWS RAM saham. Izin terkelola pelanggan bersifat spesifik Wilayah.

AWS RAM mengambil izin terkelola sebagai masukan untuk membuat [kebijakan berbasis sumber daya untuk sumber daya](#term-resource-based-policy) yang Anda bagikan.

## Versi izin terkelola
<a name="term-managed-permission-version"></a>

Setiap perubahan pada izin terkelola direpresentasikan sebagai versi baru dari izin terkelola tersebut. Versi baru adalah default untuk semua pembagian sumber daya baru. Setiap izin terkelola selalu memiliki satu versi yang ditetapkan sebagai versi default. Saat Anda atau AWS membuat versi izin terkelola baru, Anda harus secara eksplisit memperbarui izin terkelola untuk setiap pembagian sumber daya yang ada. Anda dapat mengevaluasi perubahan sebelum menerapkannya ke bagian sumber daya Anda di langkah ini. Semua pembagian sumber daya baru akan secara otomatis menggunakan versi baru dari izin terkelola untuk jenis sumber daya yang sesuai.

**AWS versi izin terkelola**  
AWS menangani semua perubahan pada izin AWS terkelola. Perubahan tersebut mengatasi fungsionalitas baru atau menghapus kekurangan yang ditemukan. Anda hanya dapat menerapkan versi izin terkelola default ke pembagian sumber daya Anda.

**Versi izin yang dikelola pelanggan**  
Anda menangani semua perubahan pada izin yang dikelola pelanggan. Anda dapat membuat versi default baru, menetapkan versi yang lebih lama sebagai default, atau menghapus versi yang tidak lagi terkait dengan pembagian sumber daya apa pun. Setiap izin yang dikelola pelanggan dapat memiliki hingga lima versi.

Saat membuat atau memperbarui pembagian sumber daya, Anda hanya dapat melampirkan versi default dari izin terkelola yang ditentukan. Lihat informasi yang lebih lengkap di [Memperbarui izin AWS terkelola ke versi yang lebih baru](working-with-sharing-update-permissions.md).

# Berbagi AWS sumber daya Anda
<a name="getting-started-sharing"></a>

Untuk berbagi sumber daya yang Anda miliki dengan menggunakan AWS RAM, lakukan hal berikut:
+ [Aktifkan berbagi sumber daya dalam AWS Organizations](#getting-started-sharing-orgs) (opsional)
+ [Buat berbagi sumber daya](#getting-started-sharing-create)

**Catatan**  
Berbagi sumber daya dengan prinsipal di luar Akun AWS yang memiliki sumber daya tidak mengubah izin atau kuota yang berlaku untuk sumber daya dalam akun yang membuatnya.
AWS RAM adalah layanan regional. Prinsipal yang Anda bagikan dapat mengakses pembagian sumber daya hanya Wilayah AWS di mana sumber daya dibuat.
Beberapa sumber daya memiliki pertimbangan dan prasyarat khusus untuk berbagi. Untuk informasi selengkapnya, lihat [Sumber daya yang dapat dibagikan AWS](shareable.md).

## Aktifkan berbagi sumber daya dalam AWS Organizations
<a name="getting-started-sharing-orgs"></a>

Ketika akun Anda dikelola oleh AWS Organizations, Anda dapat memanfaatkannya untuk berbagi sumber daya dengan lebih mudah. Dengan atau tanpa Organizations, pengguna dapat berbagi dengan akun individu. Namun, jika akun Anda berada dalam suatu organisasi, maka Anda dapat berbagi dengan akun individual, atau dengan semua akun di organisasi atau di OU tanpa harus menghitung setiap akun.

Untuk berbagi sumber daya dalam organisasi, Anda harus terlebih dahulu menggunakan AWS RAM konsol atau AWS Command Line Interface (AWS CLI) untuk mengaktifkan berbagi dengan AWS Organizations. Ketika Anda berbagi sumber daya di organisasi Anda, AWS RAM tidak mengirim undangan ke kepala sekolah. Prinsipal di organisasi Anda mendapatkan akses ke sumber daya bersama tanpa bertukar undangan.

Saat Anda mengaktifkan berbagi sumber daya dalam organisasi Anda, AWS RAM buat peran terkait layanan yang disebut. `AWSServiceRoleForResourceAccessManager` Peran ini hanya dapat diasumsikan oleh AWS RAM layanan, dan memberikan AWS RAM izin untuk mengambil informasi tentang organisasi yang menjadi anggotanya, dengan menggunakan kebijakan AWS terkelola. `AWSResourceAccessManagerServiceRolePolicy` 

**catatan**  
Secara default, ketika Anda mengaktifkan berbagi dengan AWS Organizations, berbagi sumber daya dalam organisasi Anda membatasi akses ke konsumen dalam organisasi yang sama. Jika akun konsumen meninggalkan organisasi, akun itu kehilangan akses ke sumber daya dalam pembagian sumber daya. Pembatasan ini berlaku apakah Anda berbagi sumber daya dengan OU, seluruh organisasi, atau akun individu dalam organisasi.  
Untuk account-to-account berbagi dalam organisasi, Anda dapat mempertahankan akses berbagi saat akun pergi dengan `RetainSharingOnAccountLeaveOrganization` menyetel `True` saat Anda membuat pembagian sumber daya baru. Dengan pengaturan ini diaktifkan, AWS RAM mengirim undangan ke akun konsumsi (mirip dengan berbagi dengan akun eksternal). Akun mempertahankan akses ke sumber daya bersama meskipun meninggalkan organisasi.  
`RetainSharingOnAccountLeaveOrganization`Pengaturan memiliki persyaratan dan batasan berikut:  
Membutuhkan `allowExternalPrincipals` untuk menjadi `True`
Hanya dapat diatur saat membuat pembagian sumber daya baru
Tidak berlaku untuk berbagi dengan OUs atau seluruh organisasi
Bila `RetainSharingOnAccountLeaveOrganization` disetel ke`True`, Anda tidak dapat menggunakan pembagian sumber daya untuk berbagi sumber daya yang [hanya dapat dibagikan dalam organisasi](shareable.html).

Jika Anda tidak perlu lagi berbagi sumber daya dengan seluruh organisasi Anda atau OUs, Anda dapat menonaktifkan berbagi sumber daya. Untuk informasi selengkapnya, lihat [Menonaktifkan berbagi sumber daya dengan AWS Organizations](security-disable-sharing-with-orgs.md).

**Izin minimum**

Untuk menjalankan prosedur di bawah ini, Anda harus masuk sebagai kepala sekolah di akun manajemen organisasi yang memiliki izin berikut:
+ `ram:EnableSharingWithAwsOrganization`
+ `iam:CreateServiceLinkedRole`
+ `organizations:enableAWSServiceAccess`
+ `organizations:DescribeOrganization`

**Persyaratan**
+ Anda dapat melakukan langkah-langkah ini hanya saat masuk sebagai prinsipal di akun manajemen organisasi.
+ Organisasi harus mengaktifkan semua fitur. Untuk informasi selengkapnya, lihat [Mengaktifkan semua fitur di organisasi Anda](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) di *Panduan AWS Organizations Pengguna*.

**penting**  
Anda harus mengaktifkan berbagi AWS Organizations dengan menggunakan AWS RAM konsol atau AWS CLI perintah [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html). Ini memastikan bahwa peran `AWSServiceRoleForResourceAccessManager` terkait layanan dibuat. Jika Anda mengaktifkan akses tepercaya AWS Organizations dengan menggunakan AWS Organizations konsol atau [ enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) AWS CLI perintah, peran `AWSServiceRoleForResourceAccessManager` terkait layanan tidak dibuat, dan Anda tidak dapat berbagi sumber daya dalam organisasi Anda.

------
#### [ Console ]

**Untuk mengaktifkan berbagi sumber daya dalam organisasi Anda**

1. Buka halaman **[Pengaturan](https://console.aws.amazon.com/ram/home#Settings:)** di AWS RAM konsol.

1. Pilih **Aktifkan berbagi dengan AWS Organizations**, lalu pilih **Simpan pengaturan**.

------
#### [ AWS CLI ]

**Untuk mengaktifkan berbagi sumber daya dalam organisasi Anda**  
Gunakan perintah [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html).

Perintah ini dapat digunakan di mana saja Wilayah AWS, dan memungkinkan berbagi dengan AWS Organizations di semua Wilayah yang AWS RAM didukung.

```
$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}
```

------

## Buat berbagi sumber daya
<a name="getting-started-sharing-create"></a>

Untuk berbagi sumber daya yang Anda miliki, buat pembagian sumber daya. Berikut adalah gambaran umum prosesnya:

1. Tambahkan sumber daya yang ingin Anda bagikan.

1. Untuk setiap jenis sumber daya yang Anda sertakan dalam share, tentukan [izin terkelola](getting-started-terms-and-concepts.md#term-managed-permission) yang akan digunakan untuk jenis sumber daya tersebut.
   + Anda dapat memilih dari salah satu izin AWS terkelola yang tersedia, izin terkelola pelanggan yang sudah ada, atau membuat izin terkelola pelanggan baru.
   + AWS izin terkelola dibuat oleh AWS untuk mencakup kasus penggunaan standar.
   + Izin terkelola pelanggan memungkinkan Anda menyesuaikan izin terkelola Anda sendiri untuk memenuhi kebutuhan keamanan dan bisnis Anda.
**catatan**  
Jika izin terkelola yang dipilih memiliki beberapa versi, maka AWS RAM secara otomatis melampirkan versi default. Anda ***hanya*** dapat melampirkan versi yang ditetapkan sebagai default.

1. Tentukan prinsip yang ingin Anda akses ke sumber daya.

**Pertimbangan-pertimbangan**
+ Jika nanti Anda perlu menghapus AWS sumber daya yang Anda sertakan dalam berbagi, sebaiknya Anda menghapus sumber daya dari pembagian sumber daya apa pun yang menyertakannya, atau menghapus pembagian sumber daya.
+ Jenis sumber daya yang dapat Anda sertakan dalam pembagian sumber daya tercantum di[Sumber daya yang dapat dibagikan AWS](shareable.md).
+ Anda dapat berbagi sumber daya hanya jika Anda [memilikinya](getting-started-terms-and-concepts.md#term-sharing-account). Anda tidak dapat berbagi sumber daya yang dibagikan dengan Anda.
+ AWS RAM adalah layanan regional. Saat Anda berbagi sumber daya dengan prinsipal di tempat lain Akun AWS, prinsipal tersebut harus mengakses setiap sumber daya dari sumber daya yang sama Wilayah AWS dengan yang dibuat. Untuk sumber daya global yang didukung, Anda dapat mengakses sumber daya tersebut dari sumber daya apa pun Wilayah AWS yang didukung oleh konsol layanan dan alat sumber daya tersebut. Anda dapat melihat pembagian sumber daya tersebut dan sumber daya globalnya di AWS RAM konsol dan alat hanya di Wilayah asal yang ditunjuk, AS Timur (Virginia N.),`us-east-1`. Untuk informasi selengkapnya tentang AWS RAM dan sumber daya global, lihat[Berbagi sumber daya regional dibandingkan dengan sumber daya global](working-with-regional-vs-global.md).
+ Jika akun yang Anda bagikan adalah bagian dari organisasi AWS Organizations dan berbagi dalam organisasi Anda diaktifkan, semua prinsipal di organisasi yang Anda bagikan secara otomatis diberikan akses ke pembagian sumber daya tanpa menggunakan undangan. Seorang kepala sekolah di akun dengan siapa Anda berbagi di luar konteks organisasi menerima undangan untuk bergabung dengan pembagian sumber daya dan diberikan akses ke sumber daya bersama hanya setelah mereka menerima undangan.
+ Jika Anda berbagi dengan kepala layanan, Anda tidak dapat mengaitkan prinsip lain dengan pembagian sumber daya.
+ Jika berbagi antara akun atau kepala sekolah yang merupakan bagian dari organisasi, maka setiap perubahan keanggotaan organisasi secara dinamis memengaruhi akses ke pembagian sumber daya. 
  + Jika Anda menambahkan Akun AWS ke organisasi atau OU yang memiliki akses ke pembagian sumber daya, maka akun anggota baru tersebut secara otomatis mendapatkan akses ke pembagian sumber daya. Administrator akun yang Anda bagikan kemudian dapat memberikan kepala sekolah individu di akun tersebut akses ke sumber daya di bagian tersebut. 
  + Jika Anda menghapus akun dari organisasi atau OU yang memiliki akses ke pembagian sumber daya, maka setiap prinsipal di akun tersebut secara otomatis kehilangan akses ke sumber daya yang diakses melalui pembagian sumber daya tersebut. 
  + Jika Anda berbagi langsung dengan akun anggota atau dengan peran IAM atau pengguna di akun anggota dan kemudian menghapus akun tersebut dari organisasi, maka setiap prinsipal di akun tersebut kehilangan akses ke sumber daya yang diakses melalui pembagian sumber daya tersebut.
**penting**  
Ketika Anda berbagi dengan organisasi atau OU, dan cakupan itu mencakup akun yang memiliki pembagian sumber daya, semua kepala sekolah di akun berbagi secara otomatis mendapatkan akses ke sumber daya dalam pembagian. Akses yang diberikan ditentukan oleh izin terkelola yang terkait dengan pembagian. Ini karena kebijakan berbasis sumber daya yang AWS RAM melekat pada setiap sumber daya dalam penggunaan berbagi. `"Principal": "*"` Untuk informasi selengkapnya, lihat [Implikasi penggunaan "Principal": "\$1" dalam kebijakan berbasis sumber daya](getting-started-terms-and-concepts.md#term-principal-star).  
Prinsipal di akun konsumsi lainnya tidak segera mendapatkan akses ke sumber daya saham. Administrator akun lain harus terlebih dahulu melampirkan kebijakan izin berbasis identitas ke kepala sekolah yang sesuai. Kebijakan tersebut harus memberikan `Allow` akses ke sumber ARNs daya individu dalam pembagian sumber daya. Izin dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang terkait dengan pembagian sumber daya.
+ Anda hanya dapat menambahkan organisasi yang menjadi anggota akun Anda, dan OUs dari organisasi itu ke pembagian sumber daya Anda. Anda tidak dapat menambahkan OUs atau organisasi dari luar organisasi Anda sendiri ke pembagian sumber daya sebagai prinsipal. Namun, Anda dapat menambahkan individu Akun AWS atau, untuk layanan yang didukung, peran IAM dan pengguna dari luar organisasi Anda sebagai prinsipal untuk berbagi sumber daya.
**catatan**  
Tidak semua jenis sumber daya dapat dibagikan dengan peran dan pengguna IAM. Untuk informasi tentang sumber daya yang dapat Anda bagikan dengan prinsipal ini, lihat. [Sumber daya yang dapat dibagikan AWS](shareable.md)
+ Untuk jenis sumber daya berikut, Anda memiliki waktu tujuh hari untuk menerima undangan untuk bergabung dengan berbagi untuk jenis sumber daya berikut. Jika Anda tidak menerima undangan sebelum kedaluwarsa, undangan secara otomatis ditolak.
**penting**  
Untuk jenis sumber daya bersama yang **tidak** ada dalam daftar berikut, Anda memiliki **waktu 12 jam** untuk menerima undangan untuk bergabung dengan pembagian sumber daya. Setelah 12 jam, undangan kedaluwarsa dan prinsipal pengguna akhir dalam pembagian sumber daya dipisahkan. Undangan tidak dapat lagi diterima oleh pengguna akhir.
  + Amazon Aurora - kluster DB
  + Amazon EC2 — reservasi kapasitas dan host khusus
  + AWS License Manager - Konfigurasi lisensi
  + AWS Outposts — Tabel rute gateway lokal, pos terdepan, dan situs 
  + Amazon Route 53 - Aturan penerusan
  + Amazon VPC — IPv4 Alamat milik pelanggan, daftar awalan, subnet, target cermin lalu lintas, gateway transit, domain multicast gateway transit

------
#### [ Console ]

**Untuk membuat pembagian sumber daya**

1. Buka [konsol AWS RAM](https://console.aws.amazon.com/ram/home).

1. Karena pembagian AWS RAM sumber daya ada secara spesifik Wilayah AWS, pilih yang sesuai Wilayah AWS dari daftar tarik-turun di sudut kanan atas konsol. Untuk melihat pembagian sumber daya yang berisi sumber daya global, Anda harus mengatur Wilayah AWS ke US East (Virginia N.), (`us-east-1`). Untuk informasi selengkapnya tentang berbagi sumber daya global, lihat[Berbagi sumber daya regional dibandingkan dengan sumber daya global](working-with-regional-vs-global.md). Jika Anda ingin memasukkan sumber daya global dalam pembagian sumber daya, maka Anda harus memilih Wilayah asal yang ditunjuk, AS Timur (Virginia N.),`us-east-1`.

1. Jika Anda baru AWS RAM, pilih **Buat berbagi sumber daya** dari halaman beranda. Jika tidak, pilih **Buat berbagi sumber daya** dari halaman **[Dibagikan oleh saya: Berbagi sumber daya](https://console.aws.amazon.com/ram/home#OwnedResourceShares:)**.

1. Pada **Langkah 1: Tentukan detail berbagi sumber daya**, lakukan hal berikut:

   1. Untuk **Nama**, masukkan nama deskriptif untuk berbagi sumber daya.

   1. Di bawah **Sumber Daya**, pilih sumber daya untuk ditambahkan ke pembagian sumber daya sebagai berikut:
      + Untuk **Pilih jenis sumber daya**, pilih jenis sumber daya yang akan dibagikan. Ini menyaring daftar sumber daya yang dapat dibagikan hanya ke sumber daya dari jenis yang dipilih.
      + Dalam daftar sumber daya yang dihasilkan, pilih kotak centang di sebelah sumber daya individual yang ingin Anda bagikan. Sumber daya yang dipilih bergerak di bawah **Sumber daya yang dipilih**.

        Jika Anda berbagi sumber daya yang terkait dengan zona ketersediaan tertentu, maka menggunakan ID Zona Ketersediaan (ID AZ) membantu Anda menentukan lokasi relatif sumber daya ini di seluruh akun. Untuk informasi selengkapnya, lihat [Availability Zone IDs untuk AWS sumber daya Anda](working-with-az-ids.md).

   1. (Opsional) Untuk [melampirkan tag](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) ke berbagi sumber daya, di bawah **Tag**, masukkan kunci tag dan nilai. Tambahkan yang lain dengan memilih **Tambahkan tag baru**. Ulangi langkah ini sesuai kebutuhan. Tag ini hanya berlaku untuk pembagian sumber daya itu sendiri, bukan untuk sumber daya dalam pembagian sumber daya.

1. Pilih **Berikutnya**.

1. Pada **Langkah 2: Kaitkan izin terkelola dengan setiap jenis sumber daya**, Anda dapat memilih untuk mengaitkan izin terkelola yang dibuat AWS dengan jenis sumber daya, memilih izin terkelola pelanggan yang ada, atau Anda dapat membuat izin terkelola pelanggan Anda sendiri untuk jenis sumber daya yang didukung. Untuk informasi selengkapnya, lihat [Jenis izin terkelola](security-ram-permissions.md#permissions-types).

   Pilih **Buat izin terkelola pelanggan** untuk membuat izin terkelola pelanggan yang memenuhi persyaratan kasus penggunaan berbagi Anda. Untuk mengetahui informasi selengkapnya, lihat [Membuat izin terkelola pelanggan](create-customer-managed-permissions.md#create_cmp). Setelah menyelesaikan proses, pilih ![\[Refresh icon\]](http://docs.aws.amazon.com/id_id/ram/latest/userguide/images/refresh_icon.PNG) dan kemudian Anda dapat memilih izin terkelola pelanggan baru Anda dari daftar tarik-turun **izin terkelola**.
**catatan**  
Jika izin terkelola yang dipilih memiliki beberapa versi, maka AWS RAM secara otomatis melampirkan versi default. Anda ***hanya*** dapat melampirkan versi yang ditetapkan sebagai default.

   Untuk menampilkan tindakan yang diizinkan izin terkelola, perluas **Lihat templat kebijakan untuk izin terkelola ini**.

1. Pilih **Berikutnya**.

1. Pada **Langkah 3: Berikan akses ke kepala sekolah**, lakukan hal berikut:

   1. Secara default, **Izinkan berbagi dengan siapa pun** dipilih, yang berarti, untuk jenis sumber daya yang mendukungnya, Anda dapat berbagi sumber daya dengan Akun AWS yang berada di luar organisasi Anda. Ini tidak memengaruhi jenis sumber daya yang *hanya* dapat dibagikan dalam organisasi, seperti subnet Amazon VPC. Anda juga dapat membagikan beberapa [jenis sumber daya yang didukung](shareable.md) dengan peran dan pengguna IAM.

      Untuk membatasi berbagi sumber daya hanya untuk akun dan kepala sekolah di organisasi Anda, pilih **Izinkan berbagi hanya** dalam organisasi Anda.

   1. Untuk **Kepala Sekolah**, lakukan hal berikut:
      + Untuk menambahkan organisasi, unit organisasi (OU), atau Akun AWS yang merupakan bagian dari organisasi, aktifkan **Menampilkan struktur organisasi**. Ini menampilkan tampilan pohon organisasi Anda. Kemudian, pilih kotak centang di sebelah setiap prinsipal yang ingin Anda tambahkan.
**penting**  
Ketika Anda berbagi dengan organisasi atau OU, dan cakupan itu mencakup akun yang memiliki pembagian sumber daya, semua kepala sekolah di akun berbagi secara otomatis mendapatkan akses ke sumber daya dalam pembagian. Akses yang diberikan ditentukan oleh izin terkelola yang terkait dengan pembagian. Ini karena kebijakan berbasis sumber daya yang AWS RAM melekat pada setiap sumber daya dalam penggunaan berbagi. `"Principal": "*"` Untuk informasi selengkapnya, lihat [Implikasi penggunaan "Principal": "\$1" dalam kebijakan berbasis sumber daya](getting-started-terms-and-concepts.md#term-principal-star).  
Prinsipal di akun konsumsi lainnya tidak segera mendapatkan akses ke sumber daya saham. Administrator akun lain harus terlebih dahulu melampirkan kebijakan izin berbasis identitas ke kepala sekolah yang sesuai. Kebijakan tersebut harus memberikan `Allow` akses ke sumber ARNs daya individu dalam pembagian sumber daya. Izin dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang terkait dengan pembagian sumber daya.
        + Jika Anda memilih organisasi (ID dimulai dengan`o-`), maka prinsipal Akun AWS di semua organisasi dapat mengakses pembagian sumber daya. 
        + Jika Anda memilih OU (ID dimulai dengan`ou-`), maka prinsipal Akun AWS di semua OU itu dan anaknya OUs dapat mengakses pembagian sumber daya.
        + Jika Anda memilih individu Akun AWS, maka hanya kepala sekolah di akun itu yang dapat mengakses pembagian sumber daya.
**catatan**  
Sakelar **struktur organisasi tampilan** hanya muncul jika berbagi dengan AWS Organizations diaktifkan dan Anda masuk ke akun manajemen untuk organisasi.  
Anda tidak dapat menggunakan metode ini untuk menentukan Akun AWS di luar organisasi Anda, atau peran IAM atau pengguna. Sebagai gantinya, Anda harus menonaktifkan **Menampilkan struktur organisasi** dan menggunakan daftar drop-down dan kotak teks untuk memasukkan ID atau ARN.
      + Untuk menentukan prinsipal berdasarkan ID atau ARN, termasuk kepala sekolah yang berada di luar organisasi, maka untuk setiap prinsipal, pilih jenis utama. **Selanjutnya, masukkan ID (untuk Akun AWS, organisasi, atau OU) atau ARN (untuk peran IAM atau pengguna), lalu pilih Tambah.** Jenis utama yang tersedia dan format ID dan ARN adalah sebagai berikut:
        + **Akun AWS**— Untuk menambahkan Akun AWS, masukkan ID akun 12 digit. Contoh:

          `123456789012`
        + **Organisasi** — Untuk menambahkan semua yang Akun AWS ada di organisasi Anda, masukkan ID organisasi. Contoh:

          `o-abcd1234`
        + **Unit organisasi (OU)** - Untuk menambahkan OU, masukkan ID OU. Contoh:

          `ou-abcd-1234efgh`
        + **Peran IAM** — Untuk menambahkan peran IAM, masukkan ARN peran tersebut. Gunakan sintaks berikut:

          `arn:partition:iam::account:role/role-name`

          Contoh:

          `arn:aws:iam::123456789012:role/MyS3AccessRole`
**catatan**  
Untuk mendapatkan ARN unik untuk peran IAM, [lihat daftar peran di konsol IAM](https://console.aws.amazon.com/iamv2/home?#/roles), gunakan perintah [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) AWS CLI atau tindakan API. [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
        + **Pengguna IAM** — Untuk menambahkan pengguna IAM, masukkan ARN pengguna. Gunakan sintaks berikut:

          `arn:partition:iam::account:user/user-name`

          Contoh:

          `arn:aws:iam::123456789012:user/bob`
**catatan**  
Untuk mendapatkan ARN unik untuk pengguna IAM, [lihat daftar pengguna di konsol IAM](https://console.aws.amazon.com/iamv2/home?#/users), gunakan [https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) AWS CLI perintah, atau tindakan API. [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
      +  **Prinsipal layanan** — Untuk menambahkan prinsipal layanan, pilih **Prinsipal layanan** dari dropbox **tipe utama Pilih**. Masukkan nama kepala AWS layanan. Gunakan sintaks berikut: 
        + `service-id.amazonaws.com`

          Contoh:

          `pca-connector-ad.amazonaws.com`

   1. Untuk **Prinsipal yang dipilih**, verifikasi bahwa prinsipal yang Anda tentukan muncul dalam daftar.

1. Pilih **Berikutnya**.

1. Pada **Langkah 4: Tinjau dan buat**, tinjau detail konfigurasi untuk berbagi sumber daya Anda. Untuk mengubah konfigurasi untuk langkah apa pun, pilih tautan yang sesuai dengan langkah yang ingin Anda kembalikan dan buat perubahan yang diperlukan.

1. Setelah Anda selesai meninjau pembagian sumber daya, pilih **Buat berbagi sumber daya**.

   Diperlukan beberapa menit untuk menyelesaikan sumber daya dan asosiasi utama. Izinkan proses ini selesai sebelum Anda mencoba menggunakan pembagian sumber daya.

1. Anda dapat menambahkan dan menghapus sumber daya dan prinsipal atau menerapkan tag khusus ke pembagian sumber daya Anda kapan saja. Anda dapat mengubah izin terkelola untuk jenis sumber daya yang disertakan dalam pembagian sumber daya, untuk jenis yang mendukung lebih dari izin terkelola default. Anda dapat menghapus pembagian sumber daya ketika Anda tidak lagi ingin berbagi sumber daya. Untuk informasi selengkapnya, lihat [Bagikan AWS sumber daya yang dimiliki oleh Anda](working-with-sharing.md).

------
#### [ AWS CLI ]

**Untuk membuat pembagian sumber daya**  
Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html). Perintah berikut membuat pembagian sumber daya yang dibagikan dengan semua yang Akun AWS ada di organisasi. Berbagi berisi konfigurasi AWS License Manager lisensi, dan memberikan izin terkelola default untuk jenis sumber daya tersebut.

**catatan**  
Jika Anda ingin menggunakan izin terkelola pelanggan dengan jenis sumber daya dalam pembagian sumber daya ini, Anda dapat menggunakan izin terkelola pelanggan yang sudah ada atau membuat izin terkelola pelanggan baru. Catat ARN untuk izin yang dikelola pelanggan, dan kemudian buat pembagian sumber daya. Lihat informasi yang lebih lengkap di [Membuat izin terkelola pelanggan](create-customer-managed-permissions.md#create_cmp).

```
$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}
```

------

# Menggunakan AWS sumber daya bersama
<a name="getting-started-shared"></a>

Untuk mulai menggunakan sumber daya yang dibagikan dengan akun Anda AWS Resource Access Manager, selesaikan tugas-tugas berikut.

**Topics**
+ [Menanggapi undangan berbagi sumber daya](#getting-started-shared-respond-invitation)
+ [Gunakan sumber daya yang dibagikan dengan Anda](#getting-started-shared-use-resources)

## Menanggapi undangan berbagi sumber daya
<a name="getting-started-shared-respond-invitation"></a>

Jika Anda menerima undangan untuk bergabung dengan pembagian sumber daya, Anda harus menerimanya untuk mendapatkan akses ke sumber daya bersama. 

Undangan tidak digunakan dalam skenario berikut:
+ Jika Anda bagian dari organisasi AWS Organizations dan berbagi di organisasi Anda diaktifkan, maka kepala sekolah di organisasi secara otomatis mendapatkan akses ke sumber daya bersama tanpa undangan.
+ Jika Anda berbagi dengan Akun AWS yang memiliki sumber daya, maka prinsipal di akun itu secara otomatis mendapatkan akses ke sumber daya bersama tanpa undangan.

------
#### [ Console ]

**Untuk menanggapi undangan**

1. Buka halaman **[Berbagi dengan saya: Berbagi sumber daya](https://console.aws.amazon.com/ram/home#SharedResourceShares:)** di AWS RAM konsol.
**catatan**  
Pembagian sumber daya hanya terlihat Wilayah AWS di tempat pembuatannya. Jika pembagian sumber daya yang diharapkan tidak muncul di konsol, Anda mungkin perlu beralih ke yang lain Wilayah AWS menggunakan kontrol tarik-turun di sudut kanan atas.

1. Tinjau daftar pembagian sumber daya yang telah Anda akses.

   Kolom **Status** menunjukkan status partisipasi Anda saat ini untuk pembagian sumber daya. `Pending`Status menunjukkan bahwa Anda telah ditambahkan ke pembagian sumber daya, tetapi Anda belum menerima atau menolak undangan.

1. Untuk menanggapi undangan berbagi sumber daya, pilih ID berbagi sumber daya dan pilih **Terima pembagian sumber daya** untuk menerima undangan, atau Tolak **pembagian sumber daya untuk menolak** undangan. Jika Anda menolak undangan, Anda tidak mendapatkan akses ke sumber daya. Jika Anda menerima undangan, Anda mendapatkan akses ke sumber daya.

------
#### [ AWS CLI ]

Untuk memulai, dapatkan daftar undangan berbagi sumber daya yang tersedia untuk Anda. Contoh perintah berikut dijalankan di `us-west-2` Wilayah, dan menunjukkan satu pembagian sumber daya tersedia di `PENDING` negara bagian.

```
$ aws ram get-resource-share-invitations
{
    "resourceShareInvitations": [
        {
            "resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
            "resourceShareName": "MyNewResourceShare",
            "resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
            "senderAccountId": "111122223333",
            "receiverAccountId": "444455556666",
            "invitationTimestamp": "2021-09-15T15:00:32.568000-07:00",
            "status": "PENDING"
        }
    ]
}
```

Anda dapat menggunakan Nama Sumber Daya Amazon (ARN) dari undangan dari perintah sebelumnya sebagai parameter di perintah berikutnya untuk menerima undangan itu.

```
$ aws ram accept-resource-share-invitation \
    --resource-share-invitation-arn arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111
{
    "resourceShareInvitation": {
        "resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
        "resourceShareName": "MyNewResourceShare",
        "resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
        "senderAccountId": "111122223333",
        "receiverAccountId": "444455556666",
        "invitationTimestamp": "2021-09-15T15:14:12.580000-07:00",
        "status": "ACCEPTED"
    }
}
```

Output menunjukkan bahwa `status` telah berubah menjadi`ACCEPTED`. Sumber daya yang termasuk dalam pembagian sumber daya itu sekarang tersedia untuk kepala sekolah di akun penerima.

------

## Gunakan sumber daya yang dibagikan dengan Anda
<a name="getting-started-shared-use-resources"></a>

Setelah menerima undangan untuk bergabung dengan pembagian sumber daya, Anda dapat melakukan tindakan spesifik pada sumber daya bersama. Tindakan ini bervariasi menurut jenis sumber daya. Untuk informasi selengkapnya, lihat [Sumber daya yang dapat dibagikan AWS](shareable.md). Sumber daya tersedia langsung di konsol layanan dan API/CLI operasi masing-masing sumber daya. Jika sumber daya bersifat regional, maka Anda harus menggunakan yang benar Wilayah AWS di konsol layanan atau perintah API/CLI. Jika sumber daya bersifat global, maka Anda harus menggunakan wilayah rumah yang ditunjuk, AS Timur (Virginia N.), `us-east-1` Untuk melihat sumber daya AWS RAM, Anda harus membuka AWS RAM konsol ke tempat Wilayah AWS pembagian sumber daya dibuat.