Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Guida introduttiva con AWS RAM
Con AWS Resource Access Manager, puoi condividere le risorse che possiedi con altre persone Account AWS. Se il tuo account è gestito da AWS Organizations, puoi anche condividere le risorse con gli altri account dell'organizzazione. Puoi anche utilizzare risorse condivise con te da altri Account AWS.
Se non abiliti la condivisione all'interno AWS Organizations, non puoi condividere le risorse con la tua organizzazione o con le unità organizzative (OU) dell'organizzazione. Tuttavia, puoi comunque condividere le risorse con i singoli Account AWS membri dell'organizzazione. Per i [tipi di risorse supportati](shareable.md), puoi anche condividere le risorse con singoli ruoli o utenti AWS Identity and Access Management (IAM) dell'organizzazione. In questo caso, questi responsabili vengono trattati come se fossero account esterni, anziché come parte dell'organizzazione. Ricevono un invito a partecipare alla condivisione di risorse e devono accettare l'invito per accedere alle risorse condivise.
**Topics**
+ [Termini e concetti](getting-started-terms-and-concepts.md)
+ [Condivisione delle tue risorse](getting-started-sharing.md)
+ [Utilizzo di risorse condivise](getting-started-shared.md)
# Termini e concetti per AWS RAM
I seguenti concetti aiutano a spiegare come utilizzare AWS Resource Access Manager (AWS RAM) per condividere le proprie risorse.
## Condivisione delle risorse
Le risorse vengono condivise AWS RAM tramite la creazione di una *condivisione di risorse*. Una condivisione di risorse è composta dai tre elementi seguenti:
+ Un elenco di una o più AWS risorse da condividere.
+ Un elenco di uno o più [responsabili a](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) cui è concesso l'accesso alle risorse.
+ Un'[autorizzazione gestita](#term-managed-permission) per ogni tipo di risorsa inclusa nella condivisione. Ogni autorizzazione gestita si applica a tutte le risorse di quel tipo in quella condivisione di risorse.
Dopo aver creato una condivisione di risorse, AWS RAM ai principali specificati nella condivisione di risorse può essere concesso l'accesso alle risorse della condivisione.
+ Se attivi la AWS RAM condivisione con AWS Organizations e i tuoi responsabili della condivisione fanno parte della stessa organizzazione dell'account di condivisione, tali responsabili possono ricevere l'accesso non appena l'amministratore dell'account concede loro le autorizzazioni per utilizzare le risorse utilizzando una politica di autorizzazione AWS Identity and Access Management (IAM).
+ Se non attivi la AWS RAM condivisione con Organizations, puoi comunque condividere le risorse con le persone Account AWS che fanno parte della tua organizzazione. L'amministratore dell'account consumatore riceve un invito a partecipare alla condivisione di risorse e deve accettare l'invito prima che i responsabili specificati nella condivisione delle risorse possano accedere alle risorse condivise.
+ È inoltre possibile condividere con account esterni all'organizzazione, se il tipo di risorsa lo supporta. L'amministratore dell'account consumatore riceve un invito a partecipare alla condivisione di risorse e deve accettare l'invito prima che i responsabili specificati nella condivisione delle risorse possano accedere alle risorse condivise. Per informazioni sui tipi di risorse che supportano questo tipo di condivisione, consulta [Risorse condivisibili AWS](shareable.md) e visualizza la colonna **Può condividere con account esterni alla propria organizzazione**.
## Account di condivisione
L'*account di condivisione* contiene la risorsa condivisa e in cui l' AWS RAM amministratore crea la condivisione di AWS risorse utilizzando AWS RAM.
Un AWS RAM amministratore è un dirigente IAM che dispone delle autorizzazioni per creare e configurare condivisioni di risorse in. Account AWS Poiché AWS RAM funziona associando una politica basata sulle risorse alle risorse in una condivisione di risorse, l' AWS RAM amministratore deve inoltre disporre delle autorizzazioni per richiamare l'`PutResourcePolicy`operazione specificata Servizio AWS per ogni tipo di risorsa incluso in una condivisione di risorse.
## Principi di consumo
L'*account di consumo* è l'account Account AWS con cui viene condivisa una risorsa. La condivisione delle risorse può specificare un intero account come principale o, per alcuni tipi di risorse, singoli ruoli o utenti dell'account. Per informazioni sui tipi di risorse che supportano questo tipo di condivisione, consulta [Risorse condivisibili AWS](shareable.md) e visualizza la colonna **Può condividere con ruoli e utenti IAM**.
AWS RAM supporta anche i responsabili del servizio in quanto consumatori di condivisioni di risorse. Per informazioni sui tipi di risorse che supportano questo tipo di condivisione, consulta [Risorse condivisibili AWS](shareable.md) e visualizza la colonna **Può condividere con i responsabili del servizio**.
I responsabili dell'account consumatore possono eseguire solo le azioni consentite da ***entrambe*** le seguenti autorizzazioni:
+ Le autorizzazioni gestite allegate alla condivisione delle risorse. Queste specificano le autorizzazioni *massime* che possono essere concesse ai responsabili dell'account di consumo.
+ Le policy basate sull'identità IAM associate ai singoli ruoli o utenti dall'amministratore IAM nell'account di consumo. Tali politiche devono garantire `Allow` l'accesso a azioni specifiche e all'[Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) di una risorsa nell'account di condivisione.
AWS RAM supporta i seguenti tipi principali di IAM come consumatori di condivisioni di risorse:
+ **Un altro Account AWS**: la condivisione delle risorse rende disponibili all'account di condivisione le risorse incluse nell'account di condivisione all'account consumatore.
+ **Ruoli o utenti IAM individuali in un altro account**: alcuni tipi di risorse supportano la condivisione diretta con singoli ruoli o utenti IAM. Specificate questo tipo principale tramite il relativo ARN.
+ **Ruolo IAM**: `arn:aws:iam::123456789012:role/rolename`
+ **Utente IAM**: `arn:aws:iam::123456789012:user/username`
+ **Responsabile del servizio**: condividi una risorsa con un AWS servizio per concedere al servizio l'accesso a una condivisione di risorse. La condivisione dei principali del servizio consente a un AWS servizio di intraprendere azioni per conto dell'utente per alleggerire l'onere operativo.
Per condividere con un responsabile del servizio, scegli di consentire la condivisione con chiunque, quindi, in **Seleziona il tipo principale**, scegli **Service principal** dall'elenco a discesa. Specificate il nome del responsabile del servizio nel seguente formato:
+ `service-id.amazonaws.com`
Per ridurre il rischio di confusione, la politica delle risorse mostra l'ID dell'account del proprietario della risorsa nella chiave di `aws:SourceAccount` condizione.
+ **Account di un'organizzazione**: se l'account di condivisione è gestito da AWS Organizations, la condivisione delle risorse può specificare l'ID dell'organizzazione da condividere con tutti gli account dell'organizzazione. La condivisione di risorse può in alternativa specificare un ID di unità organizzativa (OU) da condividere con tutti gli account di quell'unità organizzativa. Un account di condivisione può condividere solo con la propria organizzazione o unità organizzativa IDs all'interno della propria organizzazione. Specificare gli account di un'organizzazione in base all'ARN dell'organizzazione o all'unità organizzativa.
+ **Tutti gli account di un'organizzazione**: di seguito è riportato un esempio di ARN di un'organizzazione in: AWS Organizations
`arn:aws:organizations::123456789012:organization/o-`
+ **Tutti gli account in un'unità organizzativa**: di seguito è riportato un esempio di ARN di un ID OU:
`arn:aws:organizations::123456789012:organization/o-/ou--`
**Importante**
Quando si condivide con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Ciò è dovuto al fatto che AWS RAM la politica basata sulle risorse associata a ciascuna risorsa della condivisione utilizza. `"Principal": "*"` Per ulteriori informazioni, consulta [Implicazioni dell'utilizzo "Principal": "\$1" in una politica basata sulle risorse](#term-principal-star).
I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono consentire `Allow` l'accesso alle singole risorse ARNs della condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.
## Politica basata sulle risorse
Le policy basate sulle risorse sono documenti di testo JSON che implementano il linguaggio di policy IAM. A differenza delle policy basate sull'identità associate al principale, come un ruolo o un utente IAM, le policy basate sulle risorse vengono associate alla risorsa. AWS RAM crea politiche basate sulle risorse per tuo conto sulla base delle informazioni fornite per la condivisione delle risorse. È necessario specificare un elemento di `Principal` policy che determini chi può accedere alla risorsa. *Per ulteriori informazioni, consulta Politiche basate sull'[identità e politiche basate sulle risorse nella Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).*
Le policy basate sulle risorse generate da AWS RAM vengono valutate insieme a tutti gli altri tipi di policy IAM. Ciò include tutte le policy basate sull'identità IAM associate ai responsabili che stanno tentando di accedere alla risorsa, e le policy di controllo dei servizi () che potrebbero applicarsi a. SCPs AWS Organizations Account AWS Le politiche basate sulle risorse generate da AWS RAM partecipano alla stessa logica di valutazione delle politiche di tutte le altre politiche IAM. *Per i dettagli completi sulla valutazione delle policy e su come determinare le autorizzazioni risultanti, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella IAM User Guide.*
AWS RAM offre un'esperienza di condivisione delle risorse semplice e sicura fornendo policy di easy-to-use astrazione basate sulle risorse.
Per quei tipi di risorse che supportano politiche basate sulle risorse, crea e gestisce AWS RAM automaticamente le politiche basate sulle risorse per te. Per una determinata risorsa, AWS RAM crea la politica basata sulle risorse combinando le informazioni provenienti da tutte le condivisioni di risorse che includono quella risorsa. Ad esempio, considera una pipeline Amazon SageMaker AI che condividi utilizzando AWS RAM e includi in due diverse condivisioni di risorse. Puoi utilizzare una condivisione di risorse per fornire l'accesso in sola lettura all'intera organizzazione. È quindi possibile utilizzare l'altra condivisione di risorse per concedere solo le autorizzazioni di esecuzione dell' SageMaker IA a un singolo account. AWS RAM combina automaticamente questi due diversi set di autorizzazioni in un'unica politica di risorse con più istruzioni. Quindi allega la politica combinata basata sulle risorse alla risorsa della pipeline. È possibile visualizzare questa politica delle risorse sottostante richiamando l'operazione. [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html) Servizi AWS utilizza quindi tale politica basata sulle risorse per autorizzare qualsiasi principale che tenti di eseguire un'azione sulla risorsa condivisa.
Sebbene sia possibile creare manualmente le politiche basate sulle risorse e collegarle alle risorse chiamando`PutResourcePolicy`, si consiglia di AWS RAM utilizzarle perché offre i seguenti vantaggi:
+ **Disponibilità per gli utenti condivisi**: se condividi le risorse utilizzando AWS RAM, gli utenti possono vedere tutte le risorse condivise con loro direttamente nella console del servizio proprietario delle risorse e nelle operazioni API come se tali risorse fossero direttamente nell'account dell'utente. Ad esempio, se condividi un AWS CodeBuild progetto con un altro account, gli utenti dell'account utente possono vedere il progetto nella CodeBuild console e nei risultati delle operazioni CodeBuild API eseguite. Le risorse condivise allegando direttamente una policy basata sulle risorse non sono visibili in questo modo. È invece necessario scoprire e fare riferimento esplicitamente alla risorsa tramite il relativo ARN.
+ **Gestibilità per i proprietari di azioni**: se condividi risorse utilizzando AWS RAM, i proprietari delle risorse dell'account di condivisione possono vedere centralmente quali altri account hanno accesso alle proprie risorse. Se condividi una risorsa utilizzando una politica basata sulle risorse, puoi visualizzare gli account di consumo solo esaminando la politica per le singole risorse nella console di servizio o nell'API pertinente.
+ **Efficienza**: se condividi le risorse utilizzando AWS RAM, puoi condividere più risorse e gestirle come un'unità. Le risorse condivise utilizzando solo politiche basate sulle risorse richiedono politiche individuali allegate a ogni risorsa condivisa.
+ **Semplicità**: non è necessario comprendere il linguaggio di policy IAM basato su JSON. AWS RAM AWS RAM fornisce autorizzazioni ready-to-use AWS gestite tra cui scegliere di allegare alle condivisioni di risorse.
Utilizzando AWS RAM, puoi persino condividere alcuni tipi di risorse che non supportano ancora le politiche basate sulle risorse. Per tali tipi di risorse, genera AWS RAM automaticamente una politica basata sulle risorse come rappresentazione delle autorizzazioni effettive. Gli utenti possono visualizzare questa rappresentazione chiamando. [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html) Ciò include i seguenti tipi di risorse:
+ Amazon Aurora — cluster DB
+ Amazon EC2: prenotazioni di capacità e host dedicati
+ AWS License Manager — Configurazioni delle licenze
+ AWS Outposts — Tabelle di routing, avamposti e siti dei gateway locali
+ Amazon Route 53 — Regole di inoltro
+ Amazon Virtual Private Cloud: IPv4 indirizzi, elenchi di prefissi, sottoreti, target Traffic Mirror, gateway di transito e domini multicast di gateway di transito di proprietà del cliente
### AWS RAM Esempi di politiche generate basate sulle risorse
Se condividi una risorsa immagine EC2 Image Builder con ***un*** AWS RAM account individuale, genera una policy simile al seguente esempio e la allega a tutte le risorse di immagine incluse nella condivisione delle risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
}
]
}
```
------
Se condividi una risorsa immagine EC2 Image Builder ***con un ruolo o un utente IAM*** in Account AWS un AWS RAM altro ruolo, genera una policy simile all'esempio seguente e la allega a tutte le risorse di immagine incluse nella condivisione di risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/MySampleRole"
},
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
}
]
}
```
------
Se condividi una risorsa immagine EC2 Image Builder con tutti gli account di un'organizzazione o con gli account di un' AWS RAM unità organizzativa, genera una policy simile all'esempio seguente e la allega a tutte le risorse di immagine incluse nella condivisione di risorse.
**Nota**
Questa policy utilizza `"Principal": "*"` e quindi utilizza l'`"Condition"`elemento per limitare le autorizzazioni alle identità che corrispondono a quelle specificate. `PrincipalOrgID` Per ulteriori informazioni, consulta [Implicazioni dell'utilizzo "Principal": "\$1" in una politica basata sulle risorse](#term-principal-star).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123456789"
}
}
}
]
}
```
------
### Implicazioni dell'utilizzo "Principal": "\$1" in una politica basata sulle risorse
Quando `"Principal": "*"` includi una policy basata sulle risorse, questa concede l'accesso a tutti i principali IAM dell'account che contiene la risorsa, fatte salve le restrizioni imposte da un elemento, se esistente. `Condition` `Deny`Le dichiarazioni esplicite in qualsiasi politica che si applica al principale chiamante prevalgono sulle autorizzazioni concesse da questa politica. Tuttavia, una politica ***implicita `Deny` (vale*** a dire la mancanza di un elemento *esplicito*`Allow`) in qualsiasi politica di identità, permessi, limiti di sessione o policy di sessione applicabile ***non*** comporta la concessione ai principali di accedere `Deny` a un'azione mediante tale politica basata sulle risorse.
Se questo comportamento non è auspicabile per il tuo scenario, puoi ***limitarlo aggiungendo una `Deny` dichiarazione esplicita*** a una politica di identità, un limite di autorizzazioni o una politica di sessione che influenzi i ruoli e gli utenti pertinenti.
## Autorizzazioni gestite
Le autorizzazioni gestite definiscono quali azioni possono eseguire i responsabili in quali condizioni sui tipi di risorse supportati in una condivisione di risorse. Quando si crea una condivisione di risorse, è necessario specificare quale autorizzazione gestita utilizzare per ogni tipo di risorsa incluso nella condivisione di risorse. Un'autorizzazione gestita elenca l'insieme `actions` e *le condizioni* che i responsabili possono eseguire con la risorsa condivisa utilizzando AWS RAM.
È possibile allegare una sola autorizzazione gestita per ogni tipo di risorsa in una condivisione di risorse. Non è possibile creare una condivisione di risorse in cui alcune risorse di un determinato tipo utilizzano un'autorizzazione gestita e altre risorse dello stesso tipo utilizzano un'autorizzazione gestita diversa. A tale scopo, è necessario creare due diverse condivisioni di risorse e suddividere le risorse tra di esse, assegnando a ciascun set un'autorizzazione gestita diversa. Esistono due diversi tipi di autorizzazioni gestite:
**AWS autorizzazioni gestite**
AWS le autorizzazioni gestite vengono create e gestite da AWS e concedono autorizzazioni per scenari di clienti comuni. AWS RAM definisce almeno un'autorizzazione AWS gestita per ogni tipo di risorsa supportata. Alcuni tipi di risorse supportano più di un'autorizzazione AWS gestita, con un'autorizzazione gestita designata come AWS predefinita. L'[autorizzazione AWS gestita predefinita](security-ram-permissions.md#permissions-types) è associata a meno che non venga specificato diversamente.
**Autorizzazioni gestite dal cliente**
Le autorizzazioni gestite dai clienti sono autorizzazioni gestite che puoi creare e gestire specificando con precisione quali azioni possono essere eseguite in quali condizioni con l'utilizzo condiviso delle risorse. AWS RAM Ad esempio, desideri limitare l'accesso in lettura per i tuoi pool di Amazon VPC IP Address Manager (IPAM), che ti aiutano a gestire i tuoi indirizzi IP su larga scala. Puoi creare autorizzazioni gestite dai clienti per consentire ai tuoi sviluppatori di assegnare indirizzi IP, ma non visualizzare l'intervallo di indirizzi IP assegnati da altri account sviluppatore. Puoi seguire la best practice del privilegio minimo, concedendo solo le autorizzazioni necessarie per eseguire attività su risorse condivise.
È possibile definire le proprie autorizzazioni per un tipo di risorsa in una condivisione di risorse con la possibilità di aggiungere condizioni come chiavi di [contesto globali e chiavi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) [specifiche del servizio](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) per specificare le condizioni in base alle quali i principali hanno accesso alla risorsa. Queste autorizzazioni possono essere utilizzate in una o più AWS RAM condivisioni. Le autorizzazioni gestite dal cliente sono specifiche della regione.
AWS RAM utilizza le autorizzazioni gestite come input per creare le [politiche basate sulle risorse per le risorse](#term-resource-based-policy) condivise.
## Versione con autorizzazione gestita
Qualsiasi modifica a un'autorizzazione gestita viene rappresentata come una nuova versione di tale autorizzazione gestita. La nuova versione è l'impostazione predefinita per tutte le nuove condivisioni di risorse. Ogni autorizzazione gestita ha sempre una versione designata come versione predefinita. Quando si AWS crea o si crea una nuova versione di autorizzazione gestita, è necessario aggiornare in modo esplicito l'autorizzazione gestita per ogni condivisione di risorse esistente. In questo passaggio puoi valutare le modifiche prima di applicarle alla tua condivisione di risorse. Tutte le nuove condivisioni di risorse utilizzeranno automaticamente la nuova versione dell'autorizzazione gestita per il tipo di risorsa corrispondente.
**AWS versioni con autorizzazione gestita**
AWS gestisce tutte le modifiche alle autorizzazioni AWS gestite. Tali modifiche risolvono nuove funzionalità o eliminano le carenze rilevate. Puoi applicare solo la versione di autorizzazione gestita predefinita alle tue condivisioni di risorse.
**Versioni con autorizzazione gestita dal cliente**
Gestisci tutte le modifiche alle autorizzazioni gestite dai clienti. Puoi creare una nuova versione predefinita, impostare una versione precedente come predefinita o eliminare versioni che non sono più associate a nessuna condivisione di risorse. Ogni autorizzazione gestita dal cliente può avere fino a cinque versioni.
Quando crei o aggiorni una condivisione di risorse, puoi allegare solo la versione predefinita dell'autorizzazione gestita specificata. Per ulteriori informazioni, consulta [Aggiornamento delle autorizzazioni AWS gestite a una versione più recente](working-with-sharing-update-permissions.md).
# Condivisione delle AWS risorse
Per condividere una risorsa di tua proprietà utilizzando AWS RAM, procedi come segue:
+ [Abilita la condivisione delle risorse all'interno AWS Organizations](#getting-started-sharing-orgs) (facoltativo)
+ [Creare una condivisione di risorse](#getting-started-sharing-create)
**Note**
La Account AWS condivisione di una risorsa con responsabili esterni al proprietario della risorsa non modifica le autorizzazioni o le quote applicabili alla risorsa all'interno dell'account che l'ha creata.
AWS RAM è un servizio regionale. I principali con cui condividi le risorse possono accedere alle condivisioni di risorse solo Regioni AWS nelle quali sono state create.
Alcune risorse prevedono considerazioni e prerequisiti speciali per la condivisione. Per ulteriori informazioni, consulta [Risorse condivisibili AWS](shareable.md).
## Abilita la condivisione delle risorse all'interno AWS Organizations
Quando il tuo account è gestito da AWS Organizations, puoi trarne vantaggio per condividere le risorse più facilmente. Con o senza Organizations, un utente può condividere con account individuali. Tuttavia, se l'account si trova in un'organizzazione, è possibile condividerlo con singoli account o con tutti gli account dell'organizzazione o di un'unità organizzativa senza dover enumerare ogni account.
Per condividere risorse all'interno di un'organizzazione, devi prima utilizzare la AWS RAM console o AWS Command Line Interface (AWS CLI) per abilitare la condivisione con. AWS Organizations Quando condividi risorse all'interno dell'organizzazione, AWS RAM non invia inviti ai dirigenti. I responsabili della tua organizzazione hanno accesso a risorse condivise senza scambiarsi inviti.
Quando abiliti la condivisione delle risorse all'interno dell'organizzazione, AWS RAM crea un ruolo collegato al servizio chiamato. `AWSServiceRoleForResourceAccessManager` Questo ruolo può essere assunto solo dal AWS RAM servizio e concede l' AWS RAM autorizzazione a recuperare informazioni sull'organizzazione di cui è membro, utilizzando la politica gestita. AWS `AWSResourceAccessManagerServiceRolePolicy`
**Nota**
Per impostazione predefinita, quando abiliti la condivisione con AWS Organizations, la condivisione delle risorse all'interno dell'organizzazione limita l'accesso ai consumatori all'interno della stessa organizzazione. Se un account consumatore lascia l'organizzazione, tale account perde l'accesso alle risorse della condivisione delle risorse. Questa restrizione si applica sia che si condividano risorse con un'unità organizzativa, con l'intera organizzazione o con un singolo account dell'organizzazione.
Per quanto riguarda la account-to-account condivisione all'interno dell'organizzazione, è possibile mantenere l'accesso alla condivisione anche quando gli account vengono abbandonati, impostando l'opzione `RetainSharingOnAccountLeaveOrganization` `True` quando si crea una nuova condivisione di risorse. Con questa impostazione abilitata, AWS RAM invia un invito all'account utente (simile alla condivisione con account esterni). L'account mantiene l'accesso alle risorse condivise anche se lascia l'organizzazione.
L'`RetainSharingOnAccountLeaveOrganization`impostazione presenta i seguenti requisiti e limitazioni:
Richiede `allowExternalPrincipals` di essere `True`
Può essere impostato solo quando si creano nuove condivisioni di risorse
Non si applica alla condivisione con OUs o con l'intera organizzazione
Quando `RetainSharingOnAccountLeaveOrganization` è impostato su`True`, non è possibile utilizzare le condivisioni di risorse per condividere risorse che [possono essere condivise solo all'interno di un'organizzazione](shareable.html).
Se non è più necessario condividere risorse con l'intera organizzazione oppure OUs è possibile disabilitare la condivisione delle risorse. Per ulteriori informazioni, consulta [Disabilitazione della condivisione delle risorse con AWS Organizations](security-disable-sharing-with-orgs.md).
**Autorizzazioni minime**
Per eseguire le procedure seguenti, devi accedere come responsabile all'account di gestione dell'organizzazione che dispone delle seguenti autorizzazioni:
+ `ram:EnableSharingWithAwsOrganization`
+ `iam:CreateServiceLinkedRole`
+ `organizations:enableAWSServiceAccess`
+ `organizations:DescribeOrganization`
**Requisiti**
+ È possibile eseguire questi passaggi solo dopo aver effettuato l'accesso come responsabile nell'account di gestione dell'organizzazione.
+ L'organizzazione deve avere tutte le funzionalità abilitate. Per ulteriori informazioni, vedere [Abilitazione di tutte le funzionalità dell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) nella *Guida per l'AWS Organizations utente*.
**Importante**
È necessario abilitare la condivisione con AWS Organizations utilizzando la AWS RAM console o il AWS CLI comando [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html). Ciò garantisce la creazione del ruolo collegato ai servizi `AWSServiceRoleForResourceAccessManager`. Se abiliti l'accesso affidabile AWS Organizations utilizzando la AWS Organizations console o il [ enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) AWS CLI comando, il ruolo `AWSServiceRoleForResourceAccessManager` collegato al servizio non viene creato e non puoi condividere risorse all'interno dell'organizzazione.
------
#### [ Console ]
**Per abilitare la condivisione delle risorse all'interno dell'organizzazione**
1. Apri la pagina **[Impostazioni](https://console.aws.amazon.com/ram/home#Settings:)** nella AWS RAM console.
1. Scegli **Abilita condivisione con AWS Organizations**, quindi scegli **Salva impostazioni**.
------
#### [ AWS CLI ]
**Per abilitare la condivisione delle risorse all'interno dell'organizzazione**
Usa il comando [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html).
Questo comando può essere utilizzato in qualsiasi Regione AWS ambiente e consente la condivisione AWS Organizations in tutte le regioni in cui AWS RAM è supportato.
```
$ aws ram enable-sharing-with-aws-organization
{
"returnValue": true
}
```
------
## Creare una condivisione di risorse
Per condividere le risorse di tua proprietà, crea una condivisione di risorse. Ecco una panoramica del processo:
1. Aggiungi le risorse che desideri condividere.
1. Per ogni tipo di risorsa che includi nella condivisione, specifica l'[autorizzazione gestita](getting-started-terms-and-concepts.md#term-managed-permission) da utilizzare per quel tipo di risorsa.
+ Puoi scegliere tra una delle autorizzazioni AWS gestite disponibili, un'autorizzazione gestita dal cliente esistente o creare una nuova autorizzazione gestita dal cliente.
+ AWS le autorizzazioni gestite vengono create AWS per coprire casi d'uso standard.
+ Le autorizzazioni gestite dai clienti ti consentono di personalizzare le tue autorizzazioni gestite per soddisfare le tue esigenze di sicurezza e aziendali.
**Nota**
Se l'autorizzazione gestita selezionata ha più versioni, allega AWS RAM automaticamente la versione predefinita. È possibile allegare ***solo*** la versione designata come predefinita.
1. Specificate i principali ai quali desiderate che abbiano accesso alle risorse.
**Considerazioni**
+ Se in un secondo momento devi eliminare una AWS risorsa inclusa in una condivisione, ti consigliamo di rimuovere prima la risorsa da qualsiasi condivisione di risorse che la include oppure di eliminare la condivisione di risorse.
+ I tipi di risorse che puoi includere in una condivisione di risorse sono elencati in[Risorse condivisibili AWS](shareable.md).
+ Puoi condividere una risorsa solo se [la possiedi](getting-started-terms-and-concepts.md#term-sharing-account). Non puoi condividere una risorsa condivisa con te.
+ AWS RAM è un servizio regionale. Quando condividi una risorsa con i responsabili di altri Account AWS, tali principali devono accedere a ciascuna risorsa dalla stessa in Regione AWS cui è stata creata. Per le risorse globali supportate, puoi accedere a tali risorse da qualsiasi Regione AWS risorsa supportata dalla console di servizio e dagli strumenti di quella risorsa. È possibile visualizzare tali condivisioni di risorse e le relative risorse globali nella AWS RAM console e negli strumenti solo nella regione di origine designata, Stati Uniti orientali (Virginia settentrionale),`us-east-1`. Per ulteriori informazioni AWS RAM e risorse globali, vedere[Condivisione delle risorse regionali rispetto alle risorse globali](working-with-regional-vs-global.md).
+ Se l'account da cui condividi fa parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, a tutti i responsabili dell'organizzazione con cui condividi viene automaticamente concesso l'accesso alle condivisioni di risorse senza l'uso di inviti. Un responsabile di un account con cui condividi qualcosa al di fuori del contesto di un'organizzazione riceve un invito a partecipare alla condivisione di risorse e gli viene concesso l'accesso alle risorse condivise solo dopo aver accettato l'invito.
+ Se condividi con un responsabile del servizio, non puoi associare nessun altro responsabile alla condivisione delle risorse.
+ Se la condivisione avviene tra account o responsabili che fanno parte di un'organizzazione, qualsiasi modifica all'appartenenza all'organizzazione influirà dinamicamente sull'accesso alla condivisione delle risorse.
+ Se ne aggiungi un'altra Account AWS all'organizzazione o a un'unità organizzativa che ha accesso a una condivisione di risorse, il nuovo account membro ottiene automaticamente l'accesso alla condivisione di risorse. L'amministratore dell'account con cui hai condiviso l'account può quindi concedere ai singoli responsabili di quell'account l'accesso alle risorse di quella condivisione.
+ Se rimuovi un account dall'organizzazione o da un'unità organizzativa che ha accesso a una condivisione di risorse, tutti i responsabili di quell'account perderanno automaticamente l'accesso alle risorse a cui si accedeva tramite quella condivisione di risorse.
+ Se hai condiviso direttamente con un account membro o con ruoli o utenti IAM nell'account membro e poi rimuovi tale account dall'organizzazione, tutti i responsabili di quell'account perderanno l'accesso alle risorse a cui accedeva tramite quella condivisione di risorse.
**Importante**
Quando condividi con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Ciò è dovuto al fatto che AWS RAM la politica basata sulle risorse associata a ciascuna risorsa della condivisione utilizza. `"Principal": "*"` Per ulteriori informazioni, consulta [Implicazioni dell'utilizzo "Principal": "\$1" in una politica basata sulle risorse](getting-started-terms-and-concepts.md#term-principal-star).
I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono consentire `Allow` l'accesso alle singole risorse ARNs della condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.
+ Puoi aggiungere solo l'organizzazione di cui è membro l'account e quella OUs proveniente da tale organizzazione alle tue condivisioni di risorse. Non puoi aggiungere OUs organizzazioni esterne alla tua organizzazione a una condivisione di risorse come responsabili. Tuttavia, puoi aggiungere ruoli e utenti IAM individuali Account AWS o, per i servizi supportati, esterni all'organizzazione come responsabili di una condivisione di risorse.
**Nota**
Non tutti i tipi di risorse possono essere condivisi con ruoli e utenti IAM. Per informazioni sulle risorse che puoi condividere con questi responsabili, consulta. [Risorse condivisibili AWS](shareable.md)
+ Per i seguenti tipi di risorse hai sette giorni di tempo per accettare l'invito a partecipare alla condivisione per i seguenti tipi di risorse. Se non accetti l'invito prima della scadenza, l'invito viene automaticamente rifiutato.
**Importante**
Per i tipi di risorse condivise **non** presenti nell'elenco seguente, hai **12 ore** per accettare l'invito a partecipare alla condivisione di risorse. Dopo 12 ore, l'invito scade e l'utente principale incluso nella condivisione delle risorse viene dissociato. L'invito non può più essere accettato dagli utenti finali.
+ Amazon Aurora — cluster DB
+ Amazon EC2: prenotazioni di capacità e host dedicati
+ AWS License Manager — Configurazioni delle licenze
+ AWS Outposts — Tabelle di routing, avamposti e siti dei gateway locali
+ Amazon Route 53 — Regole di inoltro
+ Amazon VPC: IPv4 indirizzi di proprietà del cliente, elenchi di prefissi, sottoreti, target Traffic Mirror, gateway di transito, domini multicast con gateway di transito
------
#### [ Console ]
**Per creare una condivisione di risorse**
1. Apri la [AWS RAM console](https://console.aws.amazon.com/ram/home).
1. Poiché le condivisioni di AWS RAM risorse esistono in modo specifico Regioni AWS, scegli quella appropriata Regione AWS dall'elenco a discesa nell'angolo in alto a destra della console. Per visualizzare le condivisioni di risorse che contengono risorse globali, è necessario impostarle su Stati Uniti orientali (Virginia settentrionale), (). Regione AWS `us-east-1` Per ulteriori informazioni sulla condivisione di risorse globali, consulta[Condivisione delle risorse regionali rispetto alle risorse globali](working-with-regional-vs-global.md). Se desideri includere risorse globali nella condivisione delle risorse, devi scegliere la regione di origine designata, Stati Uniti orientali (Virginia settentrionale),`us-east-1`.
1. Se sei nuovo AWS RAM, scegli **Crea una condivisione di risorse** dalla home page. Altrimenti, scegli **Crea condivisione di risorse** dalla pagina **[Condivisi da me: Condivisioni di risorse](https://console.aws.amazon.com/ram/home#OwnedResourceShares:)**.
1. Nel **Passaggio 1: Specificate i dettagli della condivisione delle risorse**, effettuate le seguenti operazioni:
1. Per **Nome**, inserire un nome descrittivo della risorsa da condividere.
1. In **Risorse**, scegli le risorse da aggiungere alla condivisione di risorse come segue:
+ Per **Seleziona il tipo di risorsa**, scegli il tipo di risorsa da condividere. In questo modo l'elenco delle risorse condivisibili viene filtrato solo in base alle risorse del tipo selezionato.
+ Nell'elenco di risorse risultante, seleziona le caselle di controllo accanto alle singole risorse che desideri condividere. Le risorse selezionate vengono spostate in **Risorse selezionate**.
Se condividi risorse associate a una zona di disponibilità specifica, l'utilizzo dell'ID della zona di disponibilità (ID AZ) ti aiuta a determinare la posizione relativa di queste risorse tra gli account. Per ulteriori informazioni, consulta [Zona di disponibilità IDs per le tue AWS risorse](working-with-az-ids.md).
1. (Facoltativo) Per [allegare tag](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) alla condivisione di risorse, in **Tag**, inserisci una chiave e un valore per il tag. Aggiungine altri selezionando **Aggiungi nuovo tag**. Ripeti questo passaggio se necessario. Questi tag si applicano solo alla condivisione di risorse stessa, non alle risorse incluse nella condivisione di risorse.
1. Scegli **Next (Successivo)**.
1. Nel **Passaggio 2: Associa un'autorizzazione gestita a ciascun tipo di risorsa**, puoi scegliere di associare un'autorizzazione gestita creata da AWS al tipo di risorsa, scegliere un'autorizzazione gestita dal cliente esistente oppure creare un'autorizzazione gestita dal cliente personalizzata per i tipi di risorse supportati. Per ulteriori informazioni, consulta [Tipi di autorizzazioni gestite](security-ram-permissions.md#permissions-types).
Scegli **Crea autorizzazione gestita dal cliente** per creare un'autorizzazione gestita dal cliente che soddisfi i requisiti del tuo caso d'uso della condivisione. Per ulteriori informazioni, consulta [Crea un'autorizzazione gestita dal cliente](create-customer-managed-permissions.md#create_cmp). Dopo aver completato il processo, scegli ![\[Refresh icon\]](http://docs.aws.amazon.com/it_it/ram/latest/userguide/images/refresh_icon.PNG) e poi puoi selezionare la tua nuova autorizzazione gestita dal cliente dall'elenco a discesa **Autorizzazioni gestite**.
**Nota**
Se l'autorizzazione gestita selezionata ha più versioni, allega AWS RAM automaticamente la versione predefinita. È possibile allegare ***solo*** la versione designata come predefinita.
Per visualizzare le azioni consentite dall'autorizzazione gestita, espandi **Visualizza il modello di policy per questa autorizzazione gestita**.
1. Scegli **Next (Successivo)**.
1. Nel **passaggio 3: concedere l'accesso ai principali,** procedi come segue:
1. Per impostazione predefinita, è selezionata l'opzione **Consenti la condivisione con chiunque**, il che significa che, per i tipi di risorse Account AWS che la supportano, puoi condividere risorse con persone esterne all'organizzazione. Ciò non influisce sui tipi di risorse che possono essere condivise *solo* all'interno di un'organizzazione, come le sottoreti Amazon VPC. Puoi anche condividere alcuni [tipi di risorse supportati](shareable.md) con ruoli e utenti IAM.
Per limitare la condivisione delle risorse solo agli account e ai responsabili della tua organizzazione, scegli **Consenti la condivisione solo all'interno dell'organizzazione**.
1. Per **i Responsabili**, procedi come segue:
+ Per aggiungere l'organizzazione, un'unità organizzativa (OU) o una persona Account AWS che fa parte di un'organizzazione, attiva **Mostra la struttura organizzativa**. Viene visualizzata una visualizzazione ad albero dell'organizzazione. Quindi, seleziona la casella di controllo accanto a ciascun principale che desideri aggiungere.
**Importante**
Quando condividi con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Ciò è dovuto al fatto che AWS RAM la politica basata sulle risorse associata a ciascuna risorsa della condivisione utilizza. `"Principal": "*"` Per ulteriori informazioni, consulta [Implicazioni dell'utilizzo "Principal": "\$1" in una politica basata sulle risorse](getting-started-terms-and-concepts.md#term-principal-star).
I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono consentire `Allow` l'accesso alle singole risorse ARNs della condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.
+ Se si seleziona l'organizzazione (l'ID inizia con`o-`), tutti Account AWS i responsabili dell'organizzazione possono accedere alla condivisione delle risorse.
+ Se si seleziona un'unità organizzativa (l'ID inizia con`ou-`), tutti Account AWS gli amministratori dell'unità organizzativa e la relativa unità secondaria OUs possono accedere alla condivisione delle risorse.
+ Se si seleziona una persona Account AWS, solo i responsabili di quell'account possono accedere alla condivisione delle risorse.
**Nota**
L'interruttore **Visualizza la struttura organizzativa** viene visualizzato solo se la condivisione con AWS Organizations è abilitata e hai effettuato l'accesso all'account di gestione dell'organizzazione.
Non puoi utilizzare questo metodo per specificare un ruolo o un utente Account AWS esterno all'organizzazione o un ruolo o utente IAM. È invece necessario disattivare **Visualizza la struttura organizzativa** e utilizzare l'elenco a discesa e la casella di testo per inserire l'ID o l'ARN.
+ Per specificare un principale tramite ID o ARN, inclusi i principali esterni all'organizzazione, selezionare il tipo principale per ogni principale. **Quindi, inserisci l'ID (per un' Account AWS organizzazione o un'unità organizzativa) o l'ARN (per un ruolo o un utente IAM), quindi scegli Aggiungi.** I tipi principali e i formati ID e ARN disponibili sono i seguenti:
+ **Account AWS**— Per aggiungere un Account AWS, inserisci l'ID dell'account a 12 cifre. Esempio:
`123456789012`
+ **Organizzazione**: per aggiungere tutti i membri Account AWS della tua organizzazione, inserisci l'ID dell'organizzazione. Esempio:
`o-abcd1234`
+ **Unità organizzativa (OU)**: per aggiungere un'unità organizzativa, inserisci l'ID dell'unità organizzativa. Esempio:
`ou-abcd-1234efgh`
+ **Ruolo IAM**: per aggiungere un ruolo IAM, inserisci l'ARN del ruolo. Utilizzare la seguente sintassi:
`arn:partition:iam::account:role/role-name`
Esempio:
`arn:aws:iam::123456789012:role/MyS3AccessRole`
**Nota**
Per ottenere l'ARN univoco per un ruolo IAM, [visualizza l'elenco dei ruoli nella console IAM, usa il](https://console.aws.amazon.com/iamv2/home?#/roles) AWS CLI comando [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) o l'azione API. [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
+ **Utente IAM**: per aggiungere un utente IAM, inserisci l'ARN dell'utente. Utilizzare la seguente sintassi:
`arn:partition:iam::account:user/user-name`
Esempio:
`arn:aws:iam::123456789012:user/bob`
**Nota**
Per ottenere l'ARN univoco per un utente IAM, [visualizza l'elenco degli utenti nella console IAM](https://console.aws.amazon.com/iamv2/home?#/users), utilizza il [https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) AWS CLI comando o l'azione [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)API.
+ **Responsabile del servizio**: per aggiungere un responsabile del servizio, scegli **Responsabile del servizio** dal dropbox **Seleziona il tipo principale**. Inserisci il nome del responsabile del AWS servizio. Utilizzare la seguente sintassi:
+ `service-id.amazonaws.com`
Esempio:
`pca-connector-ad.amazonaws.com`
1. Per **Principi selezionati**, verifica che i principali specificati compaiano nell'elenco.
1. Scegli **Next (Successivo)**.
1. Nel **Passaggio 4: Revisione e creazione**, rivedi i dettagli di configurazione per la condivisione delle risorse. Per modificare la configurazione per qualsiasi passaggio, scegli il link corrispondente al passaggio a cui desideri tornare e apporta le modifiche richieste.
1. Dopo aver esaminato la condivisione di risorse, scegli **Crea condivisione di risorse**.
Il completamento dell'associazione tra la risorsa e il principale può richiedere alcuni minuti. Consenti il completamento di questo processo prima di provare a utilizzare la condivisione di risorse.
1. Puoi aggiungere e rimuovere risorse e principali o applicare tag personalizzati alla tua condivisione di risorse in qualsiasi momento. È possibile modificare l'autorizzazione gestita per i tipi di risorse inclusi nella condivisione delle risorse, per quei tipi che supportano più autorizzazioni gestite rispetto all'autorizzazione gestita predefinita. È possibile eliminare la condivisione di risorse quando non si desidera più condividere le risorse. Per ulteriori informazioni, consulta [Condividi AWS le risorse di tua proprietà](working-with-sharing.md).
------
#### [ AWS CLI ]
**Per creare una condivisione di risorse**
Utilizza il comando [https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html). Il comando seguente crea una condivisione di risorse condivisa con tutti i Account AWS membri dell'organizzazione. La condivisione contiene una configurazione di AWS License Manager licenza e concede le autorizzazioni gestite predefinite per quel tipo di risorsa.
**Nota**
Se desideri utilizzare un'autorizzazione gestita dal cliente con un tipo di risorsa in questa condivisione di risorse, puoi utilizzare un'autorizzazione gestita dal cliente esistente o crearne una nuova. Prendi nota dell'ARN per l'autorizzazione gestita dal cliente, quindi crea la condivisione di risorse. Per ulteriori informazioni, consulta [Crea un'autorizzazione gestita dal cliente](create-customer-managed-permissions.md#create_cmp).
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyLicenseConfigShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
--resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
--principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
"name": "MyLicenseConfigShare",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
}
}
```
------
# Utilizzo di AWS risorse condivise
Per iniziare a utilizzare le risorse condivise con il tuo account tramite AWS Resource Access Manager, completa le seguenti attività.
**Topics**
+ [Rispondi all'invito alla condivisione delle risorse](#getting-started-shared-respond-invitation)
+ [Usa le risorse condivise con te](#getting-started-shared-use-resources)
## Rispondi all'invito alla condivisione delle risorse
Se ricevi un invito a partecipare a una condivisione di risorse, devi accettarlo per accedere alle risorse condivise.
Gli inviti non vengono utilizzati nei seguenti scenari:
+ Se fai parte di un'organizzazione AWS Organizations e la condivisione all'interno dell'organizzazione è abilitata, i responsabili dell'organizzazione ottengono automaticamente l'accesso alle risorse condivise senza inviti.
+ Se condividi la Account AWS risorsa con il proprietario, i responsabili di quell'account avranno automaticamente accesso alle risorse condivise senza inviti.
------
#### [ Console ]
**Per rispondere agli inviti**
1. Apri la pagina **[Condivisi con me: condivisioni di risorse](https://console.aws.amazon.com/ram/home#SharedResourceShares:)** nella AWS RAM console.
**Nota**
Una condivisione di risorse è visibile solo nella cartella Regione AWS in cui è stata creata. Se la condivisione di risorse prevista non viene visualizzata nella console, potrebbe essere necessario passare a un'altra Regione AWS utilizzando il menu a discesa nell'angolo in alto a destra.
1. Controlla l'elenco delle condivisioni di risorse a cui ti è stato concesso l'accesso.
La colonna **Stato** indica il tuo attuale stato di partecipazione alla condivisione di risorse. Lo `Pending` stato indica che sei stato aggiunto a una condivisione di risorse, ma non hai ancora accettato o rifiutato l'invito.
1. Per rispondere all'invito alla condivisione delle risorse, seleziona l'ID di condivisione delle risorse e scegli **Accetta la condivisione delle risorse** per accettare l'invito oppure Rifiuta la **condivisione delle risorse per rifiutare** l'invito. Se rifiuti l'invito, non avrai accesso alle risorse. Se accetti l'invito, avrai accesso alle risorse.
------
#### [ AWS CLI ]
Per iniziare, ottieni un elenco degli inviti alla condivisione di risorse disponibili. Il comando di esempio seguente è stato eseguito nella `us-west-2` regione e mostra che una condivisione di risorse è disponibile nello `PENDING` stato.
```
$ aws ram get-resource-share-invitations
{
"resourceShareInvitations": [
{
"resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
"resourceShareName": "MyNewResourceShare",
"resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
"senderAccountId": "111122223333",
"receiverAccountId": "444455556666",
"invitationTimestamp": "2021-09-15T15:00:32.568000-07:00",
"status": "PENDING"
}
]
}
```
Puoi utilizzare l'Amazon Resource Name (ARN) dell'invito del comando precedente come parametro nel comando successivo per accettare quell'invito.
```
$ aws ram accept-resource-share-invitation \
--resource-share-invitation-arn arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111
{
"resourceShareInvitation": {
"resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
"resourceShareName": "MyNewResourceShare",
"resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
"senderAccountId": "111122223333",
"receiverAccountId": "444455556666",
"invitationTimestamp": "2021-09-15T15:14:12.580000-07:00",
"status": "ACCEPTED"
}
}
```
L'output mostra che `status` è cambiato in`ACCEPTED`. Le risorse incluse in quella condivisione di risorse sono ora disponibili per i responsabili dell'account accettante.
------
## Usa le risorse condivise con te
Dopo aver accettato l'invito a partecipare a una condivisione di risorse, puoi eseguire azioni specifiche sulle risorse condivise. Queste azioni possono variare a seconda del tipo di risorsa. Per ulteriori informazioni, consulta [Risorse condivisibili AWS](shareable.md). Le risorse sono disponibili direttamente nella console di servizio e nelle API/CLI operazioni di ciascuna risorsa. Se la risorsa è regionale, è necessario utilizzare il comando corretto Regione AWS nella console di servizio o API/CLI. Se la risorsa è globale, è necessario utilizzare la regione di origine designata, Stati Uniti orientali (Virginia settentrionale). `us-east-1` Per visualizzare la risorsa AWS RAM, è necessario aprire la AWS RAM console in Regione AWS cui è stata creata la condivisione di risorse.