기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 시작하기 AWS RAM
를 사용하면 소유한 리소스를 다른 개인과 공유할 AWS Resource Access Manager수 있습니다 AWS 계정. 에서 계정을 관리하는 경우 조직의 다른 계정과 리소스를 공유할 AWS Organizations수도 있습니다. 다른 AWS 계정으로부터 공유 받은 리소스를 사용할 수도 있습니다.
내에서 공유를 활성화하지 않으면 리소스를 조직 또는 조직의 조직 단위(OU)와 공유할 AWS Organizations수 없습니다. 하지만 조직의 개인과 리소스를 공유할 수는 AWS 계정 있습니다. [지원되는 리소스 유형](shareable.md)의 경우 조직의 개별 AWS Identity and Access Management (IAM) 역할 또는 사용자와 리소스를 공유할 수도 있습니다. 이 경우 이러한 보안 주체는 조직의 일부가 아닌 외부 계정처럼 취급됩니다. 리소스 공유에 참여하라는 초대를 받게 되고 초대를 수락해야 공유 리소스에 액세스할 수 있습니다.
**Topics**
+ [용어 및 개념](getting-started-terms-and-concepts.md)
+ [리소스 공유](getting-started-sharing.md)
+ [공유 리소스 사용](getting-started-shared.md)
# 에 대한 용어 및 개념 AWS RAM
다음 개념은 AWS Resource Access Manager (AWS RAM)를 사용하여 리소스를 공유하는 방법을 설명하는 데 도움이 됩니다.
## 리소스 공유
리소스 공유를 생성 AWS RAM 하여를 사용하여 *리소스를 공유합니다*. 리소스 공유의 세 가지 요소는 다음과 같습니다.
+ 공유할 하나 이상의 AWS 리소스 목록입니다.
+ 리소스 액세스 권한이 부여된 하나 이상의 [보안 주체](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying) 목록
+ 공유에 포함될 각 리소스 유형에 대한 [관리형 권한](#term-managed-permission). 각 관리형 권한은 해당 리소스 공유에 있는 해당 유형의 모든 리소스에 적용됩니다.
AWS RAM 를 사용하여 리소스 공유를 생성한 후 리소스 공유에 지정된 보안 주체에게 공유의 리소스에 대한 액세스 권한을 부여할 수 있습니다.
+ 와의 AWS RAM 공유를 활성화 AWS Organizations하고 공유한 보안 주체가 공유 계정과 동일한 조직에 있는 경우 계정 관리자가 AWS Identity and Access Management (IAM) 권한 정책을 사용하여 리소스를 사용할 수 있는 권한을 부여하는 즉시 해당 보안 주체가 액세스 권한을 받을 수 있습니다.
+ Organizations와의 AWS RAM 공유를 켜지 않은 경우에도 조직에 AWS 계정 있는 개인과 리소스를 공유할 수 있습니다. 소비 계정의 관리자는 리소스 공유에 참여하라는 초대를 받게 되며, 초대를 수락해야 리소스 공유에 지정된 주체가 공유 리소스에 액세스할 수 있습니다.
+ 리소스 유형에서 지원하는 경우 조직 외부 계정과 공유할 수도 있습니다. 소비 계정의 관리자는 리소스 공유에 참여하라는 초대를 받게 되며, 초대를 수락해야 리소스 공유에 지정된 주체가 공유 리소스에 액세스할 수 있습니다. 이 유형의 공유를 지원하는 리소스 유형에 대한 자세한 내용은 [공유 가능한 AWS 리소스](shareable.md)에서 **조직 외부 계정과 공유 가능** 열을 참조하세요.
## 공유 계정
*공유 계정에*는 공유되는 리소스와 AWS RAM 관리자가를 사용하여 AWS 리소스 공유를 생성하는 리소스가 포함되어 있습니다 AWS RAM.
AWS RAM 관리자는에서 리소스 공유를 생성하고 구성할 수 있는 권한이 있는 IAM 보안 주체입니다 AWS 계정. AWS RAM 는 리소스 공유의 리소스에 리소스 기반 정책을 연결하여 작동하므로 AWS RAM 관리자는 리소스 공유에 포함된 각 리소스 유형에 AWS 서비스 대해에서 `PutResourcePolicy` 작업을 호출할 수 있는 권한도 있어야 합니다.
## 소비 보안 주체
*소비 계정*은 리소스가 공유 AWS 계정 되는 입니다. 리소스 공유에는 계정 전체를 보안 주체로 지정하거나, 일부 리소스 유형의 경우 계정의 개별 역할 또는 사용자를 주체로 지정할 수 있습니다. 이 유형의 공유를 지원하는 리소스 유형에 대한 자세한 내용은 [공유 가능한 AWS 리소스](shareable.md)에서 **IAM 역할 및 사용자와 공유 가능** 열을 참조하세요.
AWS RAM 는 리소스 공유의 소비자로서 서비스 보안 주체도 지원합니다. 이 유형의 공유를 지원하는 리소스 유형에 대한 자세한 내용은 [공유 가능한 AWS 리소스](shareable.md)에서 **서비스 보안 주체와 공유 가능** 열을 참조하세요.
소비 계정의 보안 주체는 다음 권한이 ***모두*** 허용하는 작업만 수행할 수 있습니다.
+ 리소스 공유에 연결된 관리형 권한. 이 권한은 소비 계정의 보안 주체에게 부여할 수 있는 *최대* 권한을 지정합니다.
+ 소비 계정의 IAM 관리자가 개별 역할 또는 사용자에게 연결하는 IAM 자격 증명 기반 정책. 이 정책은 공유 계정 내 리소스의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)및 지정된 작업에 대한 `Allow` 액세스 권한을 부여해야 합니다.
AWS RAM 는 리소스 공유의 소비자로서 다음과 같은 IAM 보안 주체 유형을 지원합니다.
+ **또 다른 AWS 계정** - 리소스 공유를 사용하면 공유 계정에 포함된 리소스를 소비 계정에서 사용할 수 있습니다.
+ **개별 IAM 역할 또는 다른 계정의 사용자** - 일부 리소스 유형의 경우 개별 IAM 역할 또는 사용자와 직접 공유하는 것을 지원합니다. 이 보안 주체 유형은 해당 ARN으로 지정합니다.
+ **IAM 역할** – `arn:aws:iam::123456789012:role/rolename`
+ **IAM 사용자** – `arn:aws:iam::123456789012:user/username`
+ **서비스 보안 주체** - AWS 서비스와 리소스를 공유하여 리소스 공유에 대한 액세스 권한을 서비스에 부여합니다. 서비스 보안 주체 공유를 사용하면 AWS 서비스가 사용자를 대신하여 운영 부담을 완화하기 위한 조치를 취할 수 있습니다.
서비스 보안 주체와 공유하려면 누구에게나 공유를 허용하도록 선택한 다음 **보안 주체 유형 선택**에서 드롭다운 목록에서 **서비스 보안 주체**를 선택합니다. 서비스 보안 주체의 이름은 다음 형식으로 지정합니다.
+ `service-id.amazonaws.com`
혼동된 대리인 위험을 줄이기 위해 리소스 정책은 `aws:SourceAccount` 조건 키에 리소스 소유자의 계정 ID를 표시합니다.
+ **조직의 계정 **- 공유 계정을에서 관리하는 경우 AWS Organizations리소스 공유는 조직의 ID를 지정하여 조직의 모든 계정과 공유할 수 있습니다. 리소스 공유에는 해당 조직 단위(OU)의 모든 계정과 공유할 OU ID를 지정할 수도 있습니다. 공유 계정은 자체 조직 또는 자체 조직 내의 OU ID와만 공유할 수 있습니다. 조직 내 계정은 조직 또는 OU의 ARN으로 지정합니다.
+ **조직의 모든 계정** - 다음은 AWS Organizations조직의 ARN 예시입니다.
`arn:aws:organizations::123456789012:organization/o-`
+ **조직 단위의 모든 계정** - 다음은 OU ID의 ARN 예시입니다.
`arn:aws:organizations::123456789012:organization/o-/ou--`
**중요**
조직 또는 OU와 공유할 때 해당 범위에 리소스 공유를 소유한 계정이 포함되어 있으면 공유 계정의 모든 주체가 자동으로 공유의 리소스에 대한 액세스 권한을 얻게 됩니다. 부여된 액세스 권한은 공유와 연결된 관리형 권한에 의해 정의됩니다. 이는 공유의 각 리소스에 AWS RAM 연결하는 리소스 기반 정책이를 사용하기 때문입니다`"Principal": "*"`. 자세한 내용은 [리소스 기반 정책에서 "Principal": "\$1" 사용 시 유의 사항](#term-principal-star) 단원을 참조하십시오.
다른 소비 계정의 보안 주체는 공유 리소스에 즉시 액세스할 수 없습니다. 다른 계정의 관리자가 먼저 자격 증명 기반 권한 정책을 해당 보안 주체에 연결해야 합니다. 이러한 정책은 리소스 공유에 있는 개별 리소스의 ARN에 `Allow` 액세스 권한을 부여해야 합니다. 이러한 정책의 권한은 리소스 공유와 연결된 관리형 권한에 지정된 권한을 초과할 수 없습니다.
## 리소스 기반 정책
리소스 기반 정책은 IAM 정책 언어를 구현하는 JSON 텍스트 문서입니다. IAM 역할 또는 사용자와 같이 보안 주체에 연결하는 자격 증명 기반 정책과 달리 리소스 기반 정책을 리소스에 연결합니다.는 리소스 공유에 제공하는 정보를 기반으로 사용자를 대신하여 리소스 기반 정책을 AWS RAM 작성합니다. 리소스에 액세스할 수 있는 사용자를 결정하는 `Principal` 정책 요소를 지정해야 합니다. 자세한 내용은 IAM 사용 설명서에서 [자격 증명 기반 정책 및 리소스 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)을 참조하세요.**
에서 생성된 리소스 기반 정책은 다른 모든 IAM 정책 유형과 함께 평가 AWS RAM 됩니다. 여기에는 리소스에 액세스하려는 보안 주체에 연결된 모든 IAM 자격 증명 기반 정책과에 적용될 수 AWS Organizations 있는에 대한 서비스 제어 정책(SCPs)이 포함됩니다 AWS 계정. 에서 생성된 리소스 기반 정책은 다른 모든 IAM 정책과 동일한 정책 평가 로직에 AWS RAM 참여합니다. 정책 평가에 대한 자세한 내용과 그에 따른 권한을 결정하는 방법은 IAM 사용 설명서에서 [정책 평가 로직](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)을 참조하세요.**
AWS RAM 는 easy-to-use 추상화 리소스 기반 정책을 제공하여 간단하고 안전한 리소스 공유 환경을 제공합니다.
리소스 기반 정책을 지원하는 리소스 유형의 경우는 리소스 기반 정책을 AWS RAM 자동으로 구성하고 관리합니다. 지정된 리소스에 대해 AWS RAM 은 해당 리소스를 포함하는 모든 리소스 공유의 정보를 결합하여 리소스 기반 정책을 구축합니다. 예를 들어를 사용하여 공유하고 서로 다른 두 리소스 공유에 AWS RAM 포함하는 Amazon SageMaker AI 파이프라인을 생각해 보세요. 하나의 리소스 공유로 전체 조직에 읽기 전용 액세스 권한을 제공하고, 그런 다음 다른 리소스 공유를 사용하여 SageMaker AI 실행 권한만 단일 계정에 부여할 수 있습니다.는 이러한 두 가지 권한 세트를 여러 문이 있는 단일 리소스 정책으로 AWS RAM 자동 결합합니다. 그런 다음 결합된 리소스 기반 정책을 파이프라인 리소스에 연결합니다. [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html) 작업을 호출하여이 기본 리소스 정책을 볼 수 있습니다. AWS 서비스 그런 다음 해당 리소스 기반 정책을 사용하여 공유 리소스에서 작업을 수행하려는 보안 주체에 권한을 부여합니다.
리소스 기반 정책을 수동으로 생성하고 `PutResourcePolicy`를 호출하여 리소스에 연결할 수도 있지만, 다음과 같은 이점이 있으므로 AWS RAM 을 사용하는 것이 좋습니다.
+ **공유 소비자 검색 가능성** -를 사용하여 리소스를 공유하는 경우 AWS RAM사용자는 리소스 소유 서비스의 콘솔 및 API 작업에서 직접 공유된 모든 리소스를 마치 해당 리소스가 사용자 계정에 직접 있는 것처럼 볼 수 있습니다. 예를 들어 프로젝트를 다른 계정 AWS CodeBuild 과 공유하는 경우 소비 계정의 사용자는 CodeBuild 콘솔과 수행된 CodeBuild API 작업의 결과에서 프로젝트를 볼 수 있습니다. 리소스 기반 정책을 직접 연결하여 공유한 리소스는 이런 방식으로 보이지 않습니다. 대신 ARN으로 리소스를 검색하고 명시적으로 참조해야 합니다.
+ **공유 소유자의 관리 용이**성 -를 사용하여 리소스를 공유하는 경우 공유 계정의 AWS RAM리소스 소유자는 리소스에 액세스할 수 있는 다른 계정을 중앙에서 확인할 수 있습니다. 리소스 기반 정책을 사용하여 리소스를 공유할 경우 관련 서비스 콘솔 또는 API에서 개별 리소스에 대한 정책을 검토해야만 소비 계정을 확인할 수 있습니다.
+ **효율성** -를 사용하여 리소스를 공유하는 경우 여러 리소스를 공유하고 하나의 단위로 관리할 AWS RAM수 있습니다. 리소스 기반 정책만 사용하여 리소스를 공유하려면 공유하는 모든 리소스에 개별 정책을 연결해야 합니다.
+ **단순성** -를 사용하면 JSON 기반 IAM 정책 언어를 이해할 필요가 AWS RAM없습니다.는 리소스 공유에 연결하기 위해 선택할 수 있는 ready-to-use AWS 가능한 관리형 권한을 AWS RAM 제공합니다.
를 사용하면 리소스 기반 정책을 아직 지원하지 않는 일부 리소스 유형을 공유할 수도 AWS RAM있습니다. 이러한 리소스 유형의 경우는 실제 권한을 나타내는 리소스 기반 정책을 AWS RAM 자동으로 생성합니다. 사용자는 [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html)를 호출하여 이 표현을 확인할 수 있습니다. 여기에는 다음과 같은 리소스 유형이 포함됩니다.
+ Amazon Aurora – DB 클러스터
+ Amazon EC2 – 용량 예약 및 전용 호스트
+ AWS License Manager - 라이선스 구성
+ AWS Outposts - 로컬 게이트웨이 라우팅 테이블, Outpost 및 사이트
+ Amazon Route 53 – 전달 규칙
+ Amazon Virtual Private Cloud - 고객 소유 IPv4 주소, 접두사 목록, 서브넷, 트래픽 미러 대상, 전송 게이트웨이, 전송 게이트웨이 멀티캐스트 도메인
### AWS RAM 생성된 리소스 기반 정책의 예
EC2 Image Builder 이미지 리소스를 개별 ***계정***과 공유하는 경우는 다음 예제와 같은 정책을 AWS RAM 생성하고 리소스 공유에 포함된 이미지 리소스에 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
}
]
}
```
------
EC2 Image Builder 이미지 리소스를 다른의 ***IAM 역할 또는 사용자***와 공유하는 경우 AWS 계정는 다음 예제와 같은 정책을 AWS RAM 생성하고 리소스 공유에 포함된 이미지 리소스에 연결합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/MySampleRole"
},
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
}
]
}
```
------
EC2 Image Builder 이미지 리소스를 조직의 모든 계정 또는 계정과 공유하는 경우는 다음 예제와 같은 정책을 AWS RAM 생성하고 리소스 공유에 포함된 이미지 리소스에 연결합니다.
**참고**
이 정책은 `"Principal": "*"`를 사용한 다음 `"Condition"` 요소를 사용하여 지정된 `PrincipalOrgID`와 일치하는 ID로 권한을 제한합니다. 자세한 내용은 [리소스 기반 정책에서 "Principal": "\$1" 사용 시 유의 사항](#term-principal-star) 단원을 참조하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123456789"
}
}
}
]
}
```
------
### 리소스 기반 정책에서 "Principal": "\$1" 사용 시 유의 사항
리소스 기반 정책에 `"Principal": "*"`를 포함시키면 이 정책은 해당 리소스를 포함하는 계정의 모든 IAM 주체에 액세스 권한을 부여합니다. 단, `Condition` 요소가 있는 경우 그에 따른 제한이 적용됩니다. 호출 보안 주체에 적용되는 모든 정책의 명시적 `Deny` 문은 이 정책에서 부여한 권한보다 우선합니다. 그러나 해당 자격 증명 정책, 권한 경계 정책 또는 세션 정책에 ***암시적*** `Deny`(*명시적* `Allow`가 없음을 의미함)가 있을 경우, 해당 리소스 기반 정책에 따라 작업에 액세스 권한이 부여된 보안 주체에는 `Deny`가 적용되지 ***않습니다***.
이것이 원하는 동작이 아닌 경우 관련 역할 및 사용자에게 영향을 주는 자격 증명 정책, 권한 경계, 또는 세션 정책에 ***명시적*** `Deny` 문을 추가하여 이 동작을 제한할 수 있습니다.
## 관리형 권한
관리형 권한은 리소스 공유에서 지원되는 리소스 유형에 대해 관리자가 어떤 조건에서 어떤 작업을 수행할 수 있는지를 정의합니다. 리소스 공유를 생성할 때는 리소스 공유에 포함된 각 리소스 유형에 사용할 관리형 권한을 지정해야 합니다. 관리형 권한에는 보안 주체가 공유된 리소스로 수행할 수 있는 `actions` 및 *조건* 세트가 나열됩니다 AWS RAM.
리소스 공유의 리소스 유형당 하나의 관리형 권한만 연결할 수 있습니다. 특정 유형의 일부 리소스는 하나의 관리형 권한을 사용하고 같은 유형의 다른 리소스는 다른 관리형 권한을 사용하는 리소스 공유는 생성할 수 없습니다. 이렇게 하려면 서로 다른 두 개의 리소스 공유를 생성하고 두 공유에 리소스를 분할하여 각 세트서로 다른 관리형 권한을 부여해야 합니다. 관리형 권한에는 두 가지 유형이 있습니다.
**AWS 관리형 권한**
AWS 관리형 권한은에서 생성 및 유지 AWS 관리하고 일반적인 고객 시나리오에 대한 권한을 부여합니다.는 지원되는 모든 리소스 유형에 대해 하나 이상의 AWS 관리형 권한을 AWS RAM 정의합니다. 일부 리소스 유형은 둘 이상의 AWS 관리형 권한을 지원하며, 하나의 관리형 권한이 AWS 기본값으로 지정됩니다. 달리 지정하지 않는 한 [기본 AWS 관리형 권한이](security-ram-permissions.md#permissions-types) 연결됩니다.
**고객 관리형 권한**
고객 관리형 권한은 AWS RAM을 사용하여 공유되는 리소스에 대해 어떤 조건에서 어떤 작업을 수행할 수 있는지 정확하게 지정하여 작성하고 유지 관리하는 관리형 권한입니다. 예를 들어, 대규모로 IP 주소를 관리하는 데 도움이 되도록 Amazon VPC IP 주소 관리자(IPAM) 풀에 대한 읽기 액세스를 제한하려고 합니다. 개발자가 IP 주소를 할당할 수 있는 고객 관리형 권한을 생성할 수 있지만, 다른 개발자 계정이 할당하는 IP 주소 범위를 볼 수는 없습니다. 최소 권한 모범 사례에 따라 공유 리소스에 대한 작업을 수행하는 데 필요한 권한만 부여할 수 있습니다.
리소스 공유에서 리소스 유형에 대한 자체 권한을 정의하고, [글로벌 컨텍스트 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 및 [서비스별 키](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)와 같은 조건을 추가하여 보안 주체가 리소스에 액세스할 수 있는 조건을 지정할 수 있습니다. 이러한 권한은 하나 이상의 AWS RAM 공유에서 사용할 수 있습니다. 고객 관리형 권한은 리전별로 적용됩니다.
AWS RAM 는 관리형 권한을 입력으로 사용하여 공유하는 [리소스에 대한 리소스 기반 정책을](#term-resource-based-policy) 작성합니다.
## 관리형 권한 버전
관리형 권한에 대한 변경 사항은 해당 관리형 권한의 새 버전으로 표시됩니다. 새 버전이 모든 새 리소스 공유의 기본값입니다. 각 관리형 권한에는 항상 하나의 버전이 기본 버전으로 지정됩니다. 또는에서 새 관리형 권한 버전을 AWS 생성할 때 각 기존 리소스 공유에 대한 관리형 권한을 명시적으로 업데이트해야 합니다. 이 단계에서는 리소스 공유에 변경 사항을 적용하기 전에 변경 사항을 평가할 수 있습니다. 모든 새 리소스 공유는 해당 리소스 유형에 대한 관리 권한의 새 버전을 자동으로 사용합니다.
**AWS 관리형 권한 버전**
AWS 는 AWS 관리형 권한에 대한 모든 변경 사항을 처리합니다. 이러한 변경으로 새로운 기능이 추가되거나 발견된 단점이 제거됩니다. 기본 관리형 권한 버전은 리소스 공유에만 적용할 수 있습니다.
**고객 관리형 권한 버전**
고객 관리형 권한에 대한 모든 변경 사항은 사용자가 처리합니다. 새 기본 버전을 생성하거나, 이전 버전을 기본 버전으로 설정하거나, 리소스 공유와 더 이상 연결되지 않는 버전을 삭제할 수 있습니다. 각 고객 관리형 권한의 버전은 최대 5개까지 보유할 수 있습니다.
리소스 공유를 생성하거나 업데이트할 때 지정된 관리형 권한의 기본 버전만 연결할 수 있습니다. 자세한 내용은 [AWS 관리형 권한을 최신 버전으로 업데이트](working-with-sharing-update-permissions.md) 단원을 참조하십시오.
# AWS 리소스 공유
를 사용하여 소유한 리소스를 공유하려면 다음을 AWS RAM수행합니다.
+ [내에서 리소스 공유 활성화 AWS Organizations](#getting-started-sharing-orgs) (선택 사항)
+ [리소스 공유 생성](#getting-started-sharing-create)
**참고**
리소스를 소유 AWS 계정 한 외부의 보안 주체와 리소스를 공유해도 리소스를 생성한 계정 내의 리소스에 적용되는 권한이나 할당량은 변경되지 않습니다.
AWS RAM 는 리전 서비스입니다. 공유한 보안 주체는 리소스가 생성된 에서만 리소스 공유 AWS 리전 에 액세스할 수 있습니다.
일부 리소스에는 공유를 위한 특별 고려 사항과 사전 요구 사항이 있습니다. 자세한 내용은 [공유 가능한 AWS 리소스](shareable.md) 단원을 참조하십시오.
## 내에서 리소스 공유 활성화 AWS Organizations
에서 계정을 관리할 때 이를 활용하여 리소스를 더 쉽게 공유할 AWS Organizations수 있습니다. Organizations 사용 여부와 관계없이, 사용자는 개별 계정과 리소스를 공유할 수 있습니다. 그러나 계정이 조직에 있는 경우 각 계정을 열거할 필요 없이 개별 계정과 공유하거나 조직 또는 OU의 모든 계정과 공유할 수 있습니다.
조직 내에서 리소스를 공유하려면 먼저 AWS RAM 콘솔 또는 AWS Command Line Interface (AWS CLI)를 사용하여 공유를 활성화해야 합니다 AWS Organizations. 조직의 리소스를 공유할 때 AWS RAM 는 보안 주체에게 초대를 보내지 않습니다. 조직의 보안 주체는 초대를 교환하지 않고도 공유 리소스에 액세스할 수 있습니다.
조직 내에서 리소스 공유를 활성화하면는 라는 서비스 연결 역할을 AWS RAM 생성합니다`AWSServiceRoleForResourceAccessManager`. 이 역할은 AWS RAM 서비스에서만 수임할 수 있으며 관리 AWS 형 정책를 사용하여 해당 역할이 속한 조직에 대한 정보를 검색할 수 있는 AWS RAM 권한을 부여합니다`AWSResourceAccessManagerServiceRolePolicy`.
**참고**
기본적으로 와의 공유를 활성화하면 조직 내 AWS Organizations리소스 공유는 동일한 조직 내 소비자에 대한 액세스를 제한합니다. 소비자 계정이 조직을 떠나면 해당 계정은 리소스 공유의 리소스에 대한 액세스 권한을 잃게 됩니다. 이 제한은 리소스를 OU, 전체 조직 또는 조직의 개별 계정과 공유하는지 여부에 관계없이 적용됩니다.
조직 내에서 account-to-account 공유의 경우 새 리소스 공유를 생성할 때 `RetainSharingOnAccountLeaveOrganization`를 로 설정하여 계정이 나갈 `True` 때 공유 액세스를 유지할 수 있습니다. 이 설정을 활성화하면가 소비 계정으로 초대를 AWS RAM 보냅니다(외부 계정과 공유와 유사). 계정은 조직에서 나가더라도 공유 리소스에 대한 액세스 권한을 유지합니다.
`RetainSharingOnAccountLeaveOrganization` 설정에는 다음과 같은 요구 사항 및 제한 사항이 있습니다.
`allowExternalPrincipals`가 필요합니다. `True`
새 리소스 공유를 생성할 때만 설정할 수 있습니다.
OUs 또는 전체 조직과의 공유에는 적용되지 않습니다.
`RetainSharingOnAccountLeaveOrganization`를 로 설정`True`하면 리소스 공유를 사용하여 [조직 내에서만 공유할 수 있는 리소스를 공유할 수](shareable.html) 없습니다.
전체 조직 또는 OU와 리소스를 더 이상 공유할 필요가 없는 경우 리소스 공유를 비활성화할 수 있습니다. 자세한 내용은 [와의 리소스 공유 비활성화 AWS Organizations](security-disable-sharing-with-orgs.md) 단원을 참조하십시오.
**최소 권한**
아래 절차를 실행하려면 다음 권한이 있는 조직의 관리 계정에 보안 주체로 로그인해야 합니다.
+ `ram:EnableSharingWithAwsOrganization`
+ `iam:CreateServiceLinkedRole`
+ `organizations:enableAWSServiceAccess`
+ `organizations:DescribeOrganization`
**요구 사항**
+ 조직의 관리 계정에 보안 주체로 로그인한 상태에서만 이 단계를 수행할 수 있습니다.
+ 조직에서 모든 기능이 활성화되어 있어야 합니다. 자세한 내용은AWS Organizations 사용 설명서에서 [조직 내 모든 기능 활성화](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)를 참조하세요.**
**중요**
AWS RAM 콘솔 또는 [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) AWS CLI 명령을 AWS Organizations 사용하여와 공유를 활성화해야 합니다. 이렇게 하면 `AWSServiceRoleForResourceAccessManager` 서비스 연결 역할이 생성됩니다. AWS Organizations 콘솔 또는 [ enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) AWS CLI 명령을 AWS Organizations 사용하여에서 신뢰할 수 있는 액세스를 활성화하면 `AWSServiceRoleForResourceAccessManager` 서비스 연결 역할이 생성되지 않으며 조직 내에서 리소스를 공유할 수 없습니다.
------
#### [ Console ]
**조직 내 리소스 공유를 활성화하려면**
1. AWS RAM 콘솔에서 **[설정](https://console.aws.amazon.com/ram/home#Settings:)** 페이지를 엽니다.
1. **공유 활성화를 AWS Organizations** 선택한 다음 **설정 저장**을 선택합니다.
------
#### [ AWS CLI ]
**조직 내 리소스 공유를 활성화하려면**
[enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) 명령을 사용합니다.
이 명령은 모든에서 사용할 수 있으며 AWS 리전 AWS RAM 가 지원되는 모든 리전 AWS Organizations 에서와 공유할 수 있습니다.
```
$ aws ram enable-sharing-with-aws-organization
{
"returnValue": true
}
```
------
## 리소스 공유 생성
내 소유의 리소스를 공유하려면 리소스 공유를 생성합니다. 다음은 이 프로세스를 요약한 것입니다.
1. 공유하려는 리소스를 추가합니다.
1. 공유에 포함할 리소스 유형마다 해당 리소스 유형에 사용할 [관리형 권한](getting-started-terms-and-concepts.md#term-managed-permission)을 지정합니다.
+ 사용 가능한 AWS 관리형 권한 중 하나, 기존 고객 관리형 권한 중에서 선택하거나 새 고객 관리형 권한을 생성할 수 있습니다.
+ AWS 관리형 권한은 표준 사용 사례를 다루 AWS 기 위해에서 생성됩니다.
+ 고객 관리형 권한을 사용하면 보안 및 비즈니스 요구 사항에 맞게 관리형 권한을 맞춤 설정할 수 있습니다.
**참고**
선택한 관리형 권한에 여러 버전이 있는 경우는 기본 버전을 AWS RAM 자동으로 연결합니다. 기본 버전으로 지정된 ***버전만*** 연결할 수 있습니다.
1. 리소스에 대한 액세스를 허용할 보안 주체를 지정합니다.
**고려 사항**
+ 나중에 공유에 포함된 AWS 리소스를 삭제해야 하는 경우 먼저 리소스를 포함하는 리소스 공유에서 리소스를 제거하거나 리소스 공유를 삭제하는 것이 좋습니다.
+ 리소스 공유에 포함될 수 있는 리소스 유형은 [공유 가능한 AWS 리소스](shareable.md)에 나열되어 있습니다.
+ 본인이 [소유한](getting-started-terms-and-concepts.md#term-sharing-account) 리소스만 공유할 수 있습니다. 공유 받은 리소스는 공유할 수 없습니다.
+ AWS RAM 는 리전 서비스입니다. 리소스를 다른 AWS 계정의 보안 주체와 공유하는 경우 해당 보안 주체는 리소스가 생성된 동일한 AWS 리전 에서 각 리소스에 액세스해야 합니다. 지원되는 글로벌 리소스의 경우 해당 리소스의 서비스 콘솔 및 도구에서 AWS 리전 지원하는에서 해당 리소스에 액세스할 수 있습니다. 이러한 리소스 공유 및 글로벌 리소스는 지정된 홈 리전인 미국 동부(버지니아 북부), `us-east-1`에서만 AWS RAM 콘솔 및 도구에서 볼 수 있습니다. AWS RAM 및 글로벌 리소스에 대한 자세한 내용은 섹션을 참조하세요[글로벌 리소스와 리전 리소스를 비교하여 공유](working-with-regional-vs-global.md).
+ 공유하려는 계정이에 있는 조직의 일부이고 조직 내 AWS Organizations 공유가 활성화된 경우 공유한 조직의 모든 보안 주체는 초대를 사용하지 않고 리소스 공유에 대한 액세스 권한이 자동으로 부여됩니다. 조직 외부에서 나와 공유하고 있는 계정의 보안 주체는 리소스 공유에 참여하라는 초대를 받게 되며, 초대를 수락해야만 공유 리소스에 대한 액세스 권한이 부여됩니다.
+ 서비스 주체와 공유하는 경우 다른 주체를 리소스 공유에 연결할 수 없습니다.
+ 조직에 속한 계정 또는 보안 주체 간에 공유하는 경우 조직 멤버십이 변경되면 리소스 공유에 대한 액세스 권한이 동적으로 영향을 받습니다.
+ 리소스 공유 AWS 계정 에 액세스할 수 있는 조직 또는 OU에를 추가하면 해당 새 멤버 계정이 리소스 공유에 자동으로 액세스할 수 있습니다. 그러면 공유한 계정의 관리자가 해당 계정의 개별 보안 주체에게 해당 공유의 리소스에 대한 액세스 권한을 부여할 수 있습니다.
+ 리소스 공유에 액세스할 수 있는 조직 또는 OU에서 계정을 제거하면 해당 계정의 모든 보안 주체는 해당 리소스 공유를 통해 액세스한 리소스에 자동으로 액세스할 수 없게 됩니다.
+ 멤버 계정 또는 멤버 계정 내의 IAM 역할 또는 사용자와 직접 공유한 다음 조직에서 해당 계정을 제거하면 해당 계정의 모든 보안 주체는 해당 리소스 공유를 통해 액세스한 리소스에 액세스할 수 없게 됩니다.
**중요**
조직 또는 OU와 공유할 때 해당 범위에 리소스 공유를 소유한 계정이 포함되어 있으면 공유 계정의 모든 주체가 자동으로 공유의 리소스에 대한 액세스 권한을 얻게 됩니다. 부여된 액세스 권한은 공유와 연결된 관리형 권한에 의해 정의됩니다. 이는 공유의 각 리소스에 AWS RAM 연결하는 리소스 기반 정책이를 사용하기 때문입니다`"Principal": "*"`. 자세한 내용은 [리소스 기반 정책에서 "Principal": "\$1" 사용 시 유의 사항](getting-started-terms-and-concepts.md#term-principal-star) 단원을 참조하십시오.
다른 소비 계정의 보안 주체는 공유 리소스에 즉시 액세스할 수 없습니다. 다른 계정의 관리자가 먼저 자격 증명 기반 권한 정책을 해당 보안 주체에 연결해야 합니다. 이러한 정책은 리소스 공유에 있는 개별 리소스의 ARN에 `Allow` 액세스 권한을 부여해야 합니다. 이러한 정책의 권한은 리소스 공유와 연결된 관리형 권한에 지정된 권한을 초과할 수 없습니다.
+ 계정이 속해 있는 조직과 해당 조직의 OU만 리소스 공유에 추가할 수 있습니다. 내 조직 외부의 OU 또는 조직을 리소스 공유에 보안 주체로 추가할 수 없습니다. 그러나 개별 AWS 계정 또는 지원되는 서비스의 경우 조직 외부의 IAM 역할 및 사용자를 리소스 공유에 보안 주체로 추가할 수 있습니다.
**참고**
모든 리소스 유형을 IAM 역할 및 사용자와 공유할 수 있는 것은 아닙니다. 이러한 보안 주체와 공유할 수 있는 리소스에 대한 자세한 내용은 [공유 가능한 AWS 리소스](shareable.md) 섹션을 참조하세요.
+ 다음 리소스 유형의 경우 7일 이내에 공유 참여 초대를 수락해야 합니다. 만료되기 전에 초대를 수락하지 않으면 초대가 자동으로 거부됩니다.
**중요**
다음 목록에 **없는** 공유 리소스 유형의 경우 **12시간** 이내에 리소스 공유 참여 초대를 수락해야 합니다. 12시간이 경과하면 초대가 만료되고 리소스 공유의 최종 사용자 보안 주체가 연결 해제됩니다. 최종 사용자는 더 이상 초대를 수락할 수 없습니다.
+ Amazon Aurora – DB 클러스터
+ Amazon EC2 – 용량 예약 및 전용 호스트
+ AWS License Manager - 라이선스 구성
+ AWS Outposts - 로컬 게이트웨이 라우팅 테이블, Outpost 및 사이트
+ Amazon Route 53 – 전달 규칙
+ Amazon VPC - 고객 소유 IPv4 주소, 접두사 목록, 서브넷, 트래픽 미러 대상, 전송 게이트웨이, 전송 게이트웨이 멀티캐스트 도메인
------
#### [ Console ]
**리소스 공유를 생성하려면**
1. [AWS RAM 콘솔](https://console.aws.amazon.com/ram/home)을 엽니다.
1. AWS RAM 리소스 공유는 특정에 존재하므로 콘솔 AWS 리전 의 오른쪽 상단 모서리에 있는 드롭다운 목록에서 적절한를 AWS 리전선택합니다. 글로벌 리소스가 포함된 리소스 공유를 보려면를 미국 동부(버지니아 북부), (`us-east-1`) AWS 리전 로 설정해야 합니다. 글로벌 리소스 공유에 대한 자세한 내용은 [글로벌 리소스와 리전 리소스를 비교하여 공유](working-with-regional-vs-global.md) 섹션을 참조하세요. 리소스 공유에 글로벌 리소스를 포함하려면 지정된 홈 리전인 미국 동부(버지니아 북부), `us-east-1`을 선택해야 합니다.
1. 처음 사용하는 경우 홈 페이지에서 **리소스 공유 생성을** AWS RAM선택합니다. 그렇지 않은 경우 **[내 공유: 리소스 공유](https://console.aws.amazon.com/ram/home#OwnedResourceShares:)** 페이지에서 **리소스 공유 생성**을 선택합니다.
1. **1단계: 리소스 공유 세부 정보 지정**에서 다음을 수행합니다.
1. **이름**에 리소스 공유를 설명하는 이름을 입력합니다.
1. **리소스**에서 다음과 같이 리소스 공유에 추가할 리소스를 선택합니다.
+ **리소스 유형 선택**에서 공유할 리소스 유형을 선택합니다. 그러면 공유 가능한 리소스 목록이 선택한 유형의 리소스로만 필터링됩니다.
+ 결과 리소스 목록에서 공유하려는 개별 리소스 옆의 확인란을 선택합니다. 선택한 리소스가 **선택한 리소스** 아래로 이동합니다.
특정 가용 영역과 연결된 리소스를 공유하는 경우 가용 영역 ID(AZ ID)를 사용하면 여러 계정에서 이러한 리소스의 상대적 위치를 파악할 수 있습니다. 자세한 내용은 [AWS 리소스의 가용 영역 ID](working-with-az-ids.md) 단원을 참조하십시오.
1. (선택 사항) 리소스 공유에 태그를 [연결](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)하려면 **태그** 아래에 태그 키와 값을 입력합니다. **새 태그 추가**를 선택하여 다른 태그를 추가합니다. 필요에 따라 이 단계를 반복합니다. 이러한 태그는 리소스 공유 자체에만 적용되며 리소스 공유의 리소스에는 적용되지 않습니다.
1. **다음**을 선택합니다.
1. **2단계: 관리형 권한을 각 리소스 유형과 연결**에서에서 생성한 관리형 권한을 리소스 유형 AWS 과 연결하거나, 기존 고객 관리형 권한을 선택하거나, 지원되는 리소스 유형에 대한 자체 고객 관리형 권한을 생성할 수 있습니다. 자세한 내용은 [관리형 권한의 유형](security-ram-permissions.md#permissions-types) 단원을 참조하십시오.
**고객 관리형 권한 생성**을 선택하여 공유 사용 사례의 요구 사항을 충족하는 고객 관리형 권한을 구성합니다. 자세한 내용은 [고객 관리형 정책 생성](create-customer-managed-permissions.md#create_cmp)을 참조하세요. 프로세스를 완료한 후 ![\[Refresh icon\]](http://docs.aws.amazon.com/ko_kr/ram/latest/userguide/images/refresh_icon.PNG)를 선택한 다음 **관리형 권한** 드롭다운 목록에서 새 고객 관리형 권한을 선택할 수 있습니다.
**참고**
선택한 관리형 권한에 여러 버전이 있는 경우 AWS RAM 에서 자동으로 기본 버전을 연결합니다. 기본 버전으로 지정된 ***버전만*** 연결할 수 있습니다.
관리형 권한에서 허용하는 작업을 표시하려면 **이 관리형 권한에 대한 정책 템플릿 보기**를 확장합니다.
1. **다음**을 선택합니다.
1. **3단계: 보안 주체에 액세스 권한 부여**에서 다음을 수행합니다.
1. 기본적으로 **누구와도 공유 허용**이 선택됩니다. 즉, 이를 지원하는 리소스 유형의 경우 조직 외부에 AWS 계정 있는와 리소스를 공유할 수 있습니다. 이는 Amazon VPC 서브넷과 같이 조직 *내에서만* 공유할 수 있는 리소스 유형에는 영향을 주지 않습니다. [지원되는 일부 리소스 유형](shareable.md)을 IAM 역할 및 사용자와 공유할 수도 있습니다.
리소스 공유를 조직 내 계정 및 보안 주체로만 제한하려면 **조직 내에서만 공유 허용**을 선택합니다.
1. **보안 주체**에서 다음을 수행합니다.
+ 조직, 조직 단위(OU) 또는 조직의 일부 AWS 계정 인를 추가하려면 **조직 구조 표시를** 켭니다. 그러면 조직의 트리 보기가 표시됩니다. 그런 다음 추가하려는 각 위탁자 옆의 확인란을 선택합니다.
**중요**
조직 또는 OU와 공유할 때 해당 범위에 리소스 공유를 소유한 계정이 포함되어 있으면 공유 계정의 모든 주체가 자동으로 공유의 리소스에 대한 액세스 권한을 얻게 됩니다. 부여된 액세스 권한은 공유와 연결된 관리형 권한에 의해 정의됩니다. 이는 공유의 각 리소스에 AWS RAM 연결하는 리소스 기반 정책이를 사용하기 때문입니다`"Principal": "*"`. 자세한 내용은 [리소스 기반 정책에서 "Principal": "\$1" 사용 시 유의 사항](getting-started-terms-and-concepts.md#term-principal-star) 단원을 참조하십시오.
다른 소비 계정의 보안 주체는 공유 리소스에 즉시 액세스할 수 없습니다. 다른 계정의 관리자가 먼저 자격 증명 기반 권한 정책을 해당 보안 주체에 연결해야 합니다. 이러한 정책은 리소스 공유에 있는 개별 리소스의 ARN에 `Allow` 액세스 권한을 부여해야 합니다. 이러한 정책의 권한은 리소스 공유와 연결된 관리형 권한에 지정된 권한을 초과할 수 없습니다.
+ 조직(ID가 `o-`로 시작)을 선택하면 조직 내 모든 AWS 계정 의 보안 주체가 리소스 공유에 액세스할 수 있습니다.
+ OU(ID가 `ou-`로 시작)를 선택하면 해당 OU와 하위 OU에 있는 모든 AWS 계정 의 보안 주체가 리소스 공유에 액세스할 수 있습니다.
+ 개인을 선택하면 해당 계정의 보안 주체 AWS 계정만 리소스 공유에 액세스할 수 있습니다.
**참고**
**조직 구조 표시** 토글은 AWS Organizations 와의 공유가 활성화되어 있고 조직의 관리 계정에 로그인한 경우에만 나타납니다.
이 방법으로는 조직 외부의 AWS 계정 이나 IAM 역할 또는 사용자를 지정할 수 없습니다. 대신 **조직 구조 표시**를 끄고 드롭다운 목록과 텍스트 상자를 사용하여 ID 또는 ARN을 입력해야 합니다.
+ 조직 외부의 보안 주체를 포함하여 ID 또는 ARN으로 보안 주체를 지정하려면 각 보안 주체에 대해 보안 주체 유형을 선택합니다. 그런 다음 ID( AWS 계정, 조직 또는 OU의 경우) 또는 ARN(IAM 역할 또는 사용자의 경우)을 입력한 다음 **추가**를 선택합니다. 사용 가능한 보안 주체 유형, ID 및 ARN 형식은 다음과 같습니다.
+ **AWS 계정** -를 추가하려면 12자리 계정 ID를 AWS 계정입력합니다. 예제:
`123456789012`
+ **조직** - 조직의 모든 AWS 계정 를 추가하려면 조직의 ID를 입력합니다. 예제:
`o-abcd1234`
+ **조직 단위(OU)** - OU를 추가하려면 OU ID를 입력합니다. 예제:
`ou-abcd-1234efgh`
+ **IAM 역할** - IAM 역할을 추가하려면 역할의 ARN을 입력합니다. 다음 구문을 사용합니다.
`arn:partition:iam::account:role/role-name`
예제:
`arn:aws:iam::123456789012:role/MyS3AccessRole`
**참고**
IAM 역할에 대한 고유한 ARN을 가져오려면 [IAM 콘솔에서 역할 목록을 보고](https://console.aws.amazon.com/iamv2/home?#/roles) [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) AWS CLI 명령 또는 [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) API 작업을 사용합니다.
+ **IAM 사용자** - IAM 사용자를 추가하려면 사용자의 ARN을 입력합니다. 다음 구문을 사용합니다.
`arn:partition:iam::account:user/user-name`
예제:
`arn:aws:iam::123456789012:user/bob`
**참고**
IAM 사용자의 고유한 ARN을 가져오려면 [IAM 콘솔에서 사용자 목록을 보거나](https://console.aws.amazon.com/iamv2/home?#/users) [https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) AWS CLI 명령을 사용하거나 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) API 작업을 사용합니다.
+ **서비스 보안 주체** - 서비스 보안 주체를 추가하려면 **보안 주체 유형 선택** 드롭박스에서 **서비스 주체**를 선택합니다. AWS 서비스 보안 주체의 이름을 입력합니다. 다음 구문을 사용합니다.
+ `service-id.amazonaws.com`
예제:
`pca-connector-ad.amazonaws.com`
1. **선택한 보안 주체**에서 지정한 보안 주체가 목록에 나타나는지 확인합니다.
1. **다음**을 선택합니다.
1. **4단계: 검토 및 생성**에서 리소스 공유에 대한 구성 세부 정보를 검토합니다. 단계 구성을 변경하려면 돌아가려는 단계에 해당하는 링크를 선택한 다음 필요한 사항을 변경합니다.
1. 리소스 공유 검토를 완료한 후 **리소스 공유 생성**을 선택합니다.
리소스 및 보안 주체 연결이 완료되는 데 몇 분 정도 걸릴 수 있습니다. 이 프로세스가 완료될 때까지 기다렸다가 리소스 공유를 사용해 보세요.
1. 언제든지 리소스와 보안 주체를 추가 및 제거하거나 리소스 공유에 사용자 지정 태그를 적용할 수 있습니다. 기본 관리형 권한 이상을 지원하는 리소스 유형의 경우 리소스 공유에 포함된 리소스 유형의 관리형 권한을 변경할 수 있습니다. 리소스를 더 이상 공유하지 않으려는 경우 리소스 공유를 삭제할 수 있습니다. 자세한 내용은 [내 소유의 AWS 리소스 공유](working-with-sharing.md) 단원을 참조하십시오.
------
#### [ AWS CLI ]
**리소스 공유를 생성하려면**
[https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 명령을 사용합니다. 다음 명령은 조직의 모든와 공유되는 리소스 공유 AWS 계정 를 생성합니다. 공유에는 AWS License Manager 라이선스 구성이 포함되며 해당 리소스 유형에 대한 기본 관리형 권한을 부여합니다.
**참고**
이 리소스 공유의 리소스 유형과 함께 고객 관리형 권한을 사용하려는 경우 기존 고객 관리형 권한을 사용하거나 새 고객 관리형 권한을 생성할 수 있습니다. 고객 관리형 권한의 ARN을 기록해 둔 다음 리소스 공유를 생성합니다. 자세한 내용은 [고객 관리형 정책 생성](create-customer-managed-permissions.md#create_cmp) 단원을 참조하십시오.
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyLicenseConfigShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
--resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
--principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
"name": "MyLicenseConfigShare",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
}
}
```
------
# 공유 AWS 리소스 사용
를 사용하여 계정과 공유된 리소스 사용을 시작하려면 다음 작업을 AWS Resource Access Manager완료합니다.
**Topics**
+ [리소스 공유 초대에 응답](#getting-started-shared-respond-invitation)
+ [공유 받은 리소스 사용](#getting-started-shared-use-resources)
## 리소스 공유 초대에 응답
리소스 공유에 참여하라는 초대를 받은 경우 초대를 수락해야 공유 리소스에 액세스할 수 있습니다.
다음과 같은 경우에는 초대가 사용되지 않습니다.
+ 의 조직에 속 AWS Organizations 해 있고 조직 내 공유가 활성화된 경우 조직의 보안 주체는 초대 없이 공유 리소스에 자동으로 액세스할 수 있습니다.
+ 리소스를 소유 AWS 계정 한와 공유하는 경우 해당 계정의 보안 주체는 초대 없이 공유 리소스에 자동으로 액세스할 수 있습니다.
------
#### [ Console ]
**초대에 응답하려면**
1. AWS RAM 콘솔에서 **[나와 공유: 리소스 공유](https://console.aws.amazon.com/ram/home#SharedResourceShares:)** 페이지를 엽니다.
**참고**
리소스 공유는 리소스 공유가 생성된 AWS 리전 에서만 볼 수 있습니다. 콘솔에 예상 리소스 공유가 표시되지 않는 경우 오른쪽 상단의 드롭다운 컨트롤을 AWS 리전 사용하여 다른 로 전환해야 할 수 있습니다.
1. 액세스 권한이 부여된 리소스 공유 목록을 검토합니다.
**상태** 열은 리소스 공유에 대한 현재 참여 상태를 나타냅니다. `Pending` 상태는 리소스 공유에 추가되었지만 아직 초대를 수락하거나 거부하지 않았음을 나타냅니다.
1. 리소스 공유 초대에 응답하려면 리소스 공유 ID를 선택하고 **리소스 공유 수락**을 선택하여 초대를 수락하거나 **리소스 공유 거부**를 선택하여 초대를 거부합니다. 초대를 거부하면 리소스에 액세스할 수 없습니다. 초대를 수락하면 리소스에 액세스할 수 있습니다.
------
#### [ AWS CLI ]
먼저 사용 가능한 리소스 공유 초대 목록을 확인합니다. 다음 예제 명령은 `us-west-2` 리전에서 실행되었으며, 한 리소스 공유가 `PENDING` 상태임을 보여줍니다.
```
$ aws ram get-resource-share-invitations
{
"resourceShareInvitations": [
{
"resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
"resourceShareName": "MyNewResourceShare",
"resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
"senderAccountId": "111122223333",
"receiverAccountId": "444455556666",
"invitationTimestamp": "2021-09-15T15:00:32.568000-07:00",
"status": "PENDING"
}
]
}
```
이전 명령에 있는 초대의 Amazon 리소스 이름(ARN)을 다음 명령의 파라미터로 사용하여 해당 초대를 수락할 수 있습니다.
```
$ aws ram accept-resource-share-invitation \
--resource-share-invitation-arn arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111
{
"resourceShareInvitation": {
"resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
"resourceShareName": "MyNewResourceShare",
"resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
"senderAccountId": "111122223333",
"receiverAccountId": "444455556666",
"invitationTimestamp": "2021-09-15T15:14:12.580000-07:00",
"status": "ACCEPTED"
}
}
```
출력에는 `status`가 `ACCEPTED`로 변경되었음을 보여줍니다. 이제 해당 리소스 공유에 포함된 리소스를 수락 계정의 보안 주체가 사용할 수 있습니다.
------
## 공유 받은 리소스 사용
리소스 공유 참여 초대를 수락한 후에는 공유 리소스에 대해 특정 작업을 수행할 수 있습니다. 이러한 작업은 리소스 유형에 따라 다릅니다. 자세한 내용은 [공유 가능한 AWS 리소스](shareable.md) 단원을 참조하십시오. 리소스는 각 리소스의 서비스 콘솔 및 API/CLI 작업에서 직접 사용할 수 있습니다. 리소스가 리전인 경우 서비스 콘솔 또는 API/CLI 명령 AWS 리전 에서 올바른를 사용해야 합니다. 리소스가 글로벌인 경우 지정된 홈 리전인 미국 동부(버지니아 북부)를 사용해야 합니다. 리소스를 `us-east-1` 보려면 리소스 공유 AWS 리전 가 생성된에 대해 AWS RAM 콘솔을 열어야 AWS RAM합니다.