# 在 Global Accelerator 中配置跨账户访问
<a name="cross-account-resources"></a>

利用跨账户支持，您可以将 AWS Global Accelerator 用作访问多个账户中资源的应用程序的固定入口点，或从共享 CIDR 块中为加速器选择 IP 地址。AWS 最佳做法是使用跨账户权限来允许访问不同账户中的资源。通过针对自带 IP（BYOIP）地址 CIDR 块的跨账户支持，您可以将相同的地址池用于组织中不同账户的加速器。您还可以将 AWS 资源整理到一个账户下，通过该账户来控制应用程序的互联网访问权限，从而简化监控和安全保障，并提供入站连接的可见性。

Global Accelerator 中的跨账户支持让您可以执行以下操作：
+ 将其他账户的端点（例如网络负载均衡器）添加到加速器。
+ 为 IP 地址选择一个 BYOIP 地址池，然后从池中为不同账户下的加速器选择 IP 地址。通过共享 BYOIP 地址池，您可以使用来自同一 CIDR 块的更多地址，从而减少所需 CIDR 块数量。

您可以 Global Accelerator 控制台中使用跨账户附件和资源，也可以通过 AWS Command Line Interface（AWS CLI）或 AWS SDK 使用 Global Accelerator API 操作。例如，作为主体，您可以使用 [UpdateEndpoints](https://docs.aws.amazon.com/global-accelerator/latest/api/API_AddEndpoints.html) 操作将跨账户资源添加为加速器的端点。使用 API 操作时，您需要指定跨账户附件 ARN 和端点 ID。有关更多信息，请参阅《[AWS Global Accelerator API 参考指南](https://docs.aws.amazon.com/global-accelerator/latest/api/Welcome.html)》。

**Topics**
+ [跨账户机制的工作原理](cross-account-resources.how-it-works.md)
+ [使用跨账户附件](cross-account-resources.work-with-attachments.md)
+ [使用跨账户资源](cross-account-resources.work-with-resources.md)
+ [识别跨账户资源](cross-account-resources.identify-cross-account.md)
+ [责任和权限](cross-account-resources-endpoints.responsibilities-cross-account.md)
+ [成本计费](cross-account-resources-endpoints.billing-cross-account.md)
+ [配额](cross-account-resources-endpoints.quotas-cross-account.md)

# Global Accelerator 中跨账户机制的工作原理
<a name="cross-account-resources.how-it-works"></a>

通过 Global Accelerator 中的跨账户支持，资源所有者可以控制自己的资源是否与其他账户拥有的加速器共享。要为您的资源启用资源共享，您以资源所有者的身份创建 Global Accelerator *跨账户附件*，以授权其他账户将您账户中的资源添加到加速器。

您可以在 Global Accelerator 中创建跨账户附件。附件列出了您要共享的*资源*，以及经授权可以使用这些资源的*主体*（其他账户或特定的加速器 ARN）。资源可以是您作为端点添加到加速器端点组的 AWS 资源，例如网络负载均衡器，也可以是您通过自带 IP 地址（BYOIP）流程引入 Global Accelerator 的 IP 地址范围。

**重要**  
在向跨账户附件中添加 BYOIP IP 地址范围以与主体共享之前，必须完成*预配*和*公告*该地址范围的过程。有关更多信息，请参阅 [在 Global Accelerator 中自带 IP 地址（BYOIP）](using-byoip.md)。

在您以资源所有者身份创建附件后，附件中列出的主体可以使用附件中列出的资源。也就是说，他们可以将列出的 AWS 资源添加为端点，或者从列出的 CIDR 前缀中选择一个 BYOIP 地址作为静态 IP 地址。在主体想为加速器添加跨账户资源时，他们必须指定跨账户附件，以授权他们作为有权使用该资源的主体。

# 在 Global Accelerator 中使用跨账户附件
<a name="cross-account-resources.work-with-attachments"></a>

要允许某人将来自其他账户的资源添加为加速器的端点或 BYOIP 地址，该资源的所有者必须在 Global Accelerator 中创建*跨账户附件*。在附件中，资源所有者指定一个或多个允许添加资源的加速器或账户（主体），以及此类主体可向加速器添加的特定资源。

请注意，作为资源所有者，要在跨账户附件中指定资源，您必须拥有 AWS 账户中的资源。也就是说，资源必须在您的账户中分配或预配；您不能指定他人与*您*共享的资源，例如共享子网。

**Topics**
+ [创建跨账户附件](cross-account-resources.create-attachment.md)
+ [编辑跨账户附件](cross-account-resources.edit-attachment.md)
+ [删除跨账户附件](cross-account-resources.delete-attachment.md)

# 在 AWS Global Accelerator 中创建跨账户附件
<a name="cross-account-resources.create-attachment"></a>

请按照本节中的步骤操作，以使用 AWS Global Accelerator 控制台创建跨账户附件。

本部分介绍如何使用 AWS Global Accelerator 控制台创建跨账户附件。要了解如何将 API 操作与 Global Accelerator 配合使用，请参阅 [AWS Global Accelerator API 参考](https://docs.aws.amazon.com/global-accelerator/latest/api/Welcome.html)。

# 创建跨账户附件的方法


1. 通过以下网址打开 Global Accelerator 控制台：[https://console.aws.amazon.com/globalaccelerator/home](https://console.aws.amazon.com/globalaccelerator/home)。

1. 选择**创建跨账户附件**。

1. 在**创建跨账户附件**页面上，输入附件名称。

1. 为加速器添加要允许添加资源的 AWS 账户和/或 ARN。

1. 选择您希望允许使用的资源。例如，要添加可作为端点添加的资源，请为每个资源选择一个 AWS 区域。然后从下拉菜单中选择要添加的端点类型（资源类型）和端点（资源）。

1. 选择 **Create attachment (创建挂载)**。

注意：要在附件列表中查看新的跨账户附件，请刷新**跨账户附件**页面。

# 在 AWS Global Accelerator 中编辑跨账户附件
<a name="cross-account-resources.edit-attachment"></a>

请按照本节中的步骤操作，以使用 AWS Global Accelerator 控制台编辑跨账户附件。

本部分介绍如何使用 AWS Global Accelerator 控制台编辑跨账户附件。要了解如何将 API 操作与 Global Accelerator 配合使用，请参阅 [AWS Global Accelerator API 参考](https://docs.aws.amazon.com/global-accelerator/latest/api/Welcome.html)。

您可以编辑跨账户附件，以添加或移除主体或资源、重命名附件或删除附件。

移除主体或资源或删除附件时，请注意以下事项：
+ 要从附件中移除主体或 CIDR，主体必须首先从所有使用共享 IP 地址的加速器中移除这些地址。随后您就可以从附件中移除主体（即 CIDR）。
+ 只有在没有任何加速器正在使用共享 CIDR 的共享 IP 地址时，才能移除共享 IP 地址或取消主体从附件访问共享 CIDR 的授权。
+ 如果您从允许主体添加一个或多个共享端点的跨账户附件中移除主体，Global Accelerator 将从任何针对附件中所列跨账户资源使用该权限的加速器中移除这些跨账户端点。
+ 如果您从跨账户附件中移除端点资源，Global Accelerator 会根据附件中的权限，将跨账户端点从任何将其作为端点添加的加速器中移除。
+ 如果您删除了跨账户附件，Global Accelerator 会根据附件中的权限，将附件中所列的跨账户端点从任何将相应资源作为端点添加的加速器中移除。
+ 如果有多个包含主体或包含资源的跨账户附件，Global Accelerator 将继续允许任何现有附件提供的访问权限。因此，举例来说，如果您从一个附件中移除了主体，但该主体仍然有权访问由第二个附件授予的资源，Global Accelerator 将继续允许主体访问跨账户资源。

# 编辑跨账户附件的方法


1. 通过以下网址打开 Global Accelerator 控制台：[https://console.aws.amazon.com/globalaccelerator/home](https://console.aws.amazon.com/globalaccelerator/home)。

1. 选择**跨账户附件**。

1. 选择需要更新的跨账户附件，然后选择**编辑**。

1. 修改附件以执行所需更改。例如，您可以添加或移除主体、重命名附件，还可以添加或移除资源。

1. 选择 **Save changes（保存更改）**。

# 在 Global Accelerator 中删除跨账户附件
<a name="cross-account-resources.delete-attachment"></a>

请按照本节中的步骤操作，以使用 AWS Global Accelerator 控制台删除跨账户附件。

本部分介绍如何使用 AWS Global Accelerator 控制台删除跨账户附件。要了解如何将 API 操作与 Global Accelerator 配合使用，请参阅 [AWS Global Accelerator API 参考](https://docs.aws.amazon.com/global-accelerator/latest/api/Welcome.html)。

# 删除跨账户附件的方法


1. 通过以下网址打开 Global Accelerator 控制台：[https://console.aws.amazon.com/globalaccelerator/home](https://console.aws.amazon.com/globalaccelerator/home)。

1. 选择**跨账户附件**。

1. 选择跨账户附件，然后选择**删除**。

1. 在对话框内的文本框中键入 **delete** 以确认删除跨账户附件。

1. 选择**删除**。

# 在 Global Accelerator 中使用跨账户资源
<a name="cross-account-resources.work-with-resources"></a>

如果您的账户或您有权访问的加速器在 AWS Global Accelerator 中的跨账户附件中被指定为主体，则您可以使用其他账户与您共享的资源。

例如，您可在创建加速器时选择自带 IP（BYOIP）地址作为静态 IP 地址，也可将端点添加到加速器的加速器端点组中。您还必须在附件中指定可添加的资源。

以下各节包括在 Global Accelerator 中添加或移除跨账户附件的步骤。

**Topics**
+ [添加跨账户 BYOIP 地址](cross-account-resources.add-byoip.md)
+ [添加跨账户端点](cross-account-resources.add-endpoints.md)
+ [移除跨账户端点](cross-account-resources.remove-endpoints.md)

# 在 Global Accelerator 中添加跨账户 BYOIP 地址
<a name="cross-account-resources.add-byoip"></a>

按照本节中的步骤，使用 Global Accelerator 控制台配置跨账户自带 IP（BYOIP）IP 地址。

本节介绍如何使用 AWS Global Accelerator 控制台使用 BYOIP 地址。要了解如何将 API 操作与 Global Accelerator 配合使用，请参阅 [AWS Global Accelerator API 参考](https://docs.aws.amazon.com/global-accelerator/latest/api/Welcome.html)。

您可以更改用于加速器的 BYOIP 地址，但存在一些限制。有关更多信息，请参阅 [如何更新加速器以更改 IP 地址](using-byoip.update-accelerator.md#using-byoip.update-accelerator.how-to)。

# 使用跨账户 BYOIP IP 地址


1. 通过以下网址打开 Global Accelerator 控制台：[https://console.aws.amazon.com/globalaccelerator/home](https://console.aws.amazon.com/globalaccelerator/home)。

1. 选择**创建加速器**。

1. 提供加速器的名称。

1. 选择**加速器类型**。

1. 为 **IP 地址类型**选择 **IPv4**。

1. 选中**使用跨账户授权的 CIDR 中的静态 IP 地址**复选框。

1. 针对将您指定为主体，包括已与您共享的 BYOIP 地址块的跨账户附件，为该跨账户附件所有者选择账户 ID。

   请注意，由于必须选择一个账户以从中选择地址，因此如果您在创建加速器时选择了两个 BYOIP IP 地址，则这些 IP 地址必须具有相同的所有者，并且必须在同一个跨账户附件中获得授权。

1. 为加速器指定一个或两个静态 IP 地址。
   + 对于每个静态 IP 地址，选择要使用的 IP 地址池。
**注意**  
必须为每个静态 IP 地址选择一个独立的 IP 地址池。之所以存在这种限制，是因为为了实现高可用性，Global Accelerator 会将每个地址范围分配给不同的网络区域。
   + 如果您选择自己的 IP 地址池，则还要从池中选择特定的 IP 地址。如果您选择默认 Amazon IP 地址池，则 Global Accelerator 会为您的加速器分配特定的 IP 地址。

1. 或者，添加一个或多个标签来帮助您识别加速器资源。

1. 选择**下一步**添加侦听器、端点组和端点。

# 在 AWS Global Accelerator 中添加跨账户端点
<a name="cross-account-resources.add-endpoints"></a>

请按照本节中的步骤操作，使用 Global Accelerator 控制台添加跨账户端点。

本节介绍如何使用 AWS Global Accelerator 控制台添加跨账户端点。要了解如何将 API 操作与 Global Accelerator 配合使用，请参阅 [AWS Global Accelerator API 参考](https://docs.aws.amazon.com/global-accelerator/latest/api/Welcome.html)。

# 添加跨账户端点


1. 创建或更新加速器时，在**端点**部分中选择**添加端点**。

1. 在**添加端点**页面上，选择**添加跨账户附件中指定的资源**。

1. 在下拉菜单中选择已创建跨账户附件（包括您或加速器作为主体）的 AWS 账户。

1. 为**端点类型**选择要添加的资源类型。

   请注意，只有跨账户附件中包含的资源类型才会出现在下拉菜单中。

1. 为**端点**选择要添加的资源。

   请注意，只有跨账户附件中包含的资源才会出现在下拉菜单中。要查看未通过跨账户附件启用的资源，请清除**添加跨账户附件中指定的资源**复选框。

# 在 Global Accelerator 中移除跨账户端点
<a name="cross-account-resources.remove-endpoints"></a>

请按照本节中的步骤操作，使用 Global Accelerator 控制台移除跨账户端点。

本节介绍如何使用 AWS Global Accelerator 控制台移除跨账户端点。要了解如何将 API 操作与 Global Accelerator 配合使用，请参阅 [AWS Global Accelerator API 参考](https://docs.aws.amazon.com/global-accelerator/latest/api/Welcome.html)。

# 移除跨账户端点


1. 创建或更新加速器时，在**端点组**详细信息页面上，选择要移除的端点。

1. 选择**移除**。

# 在 Global Accelerator 中识别跨账户资源
<a name="cross-account-resources.identify-cross-account"></a>

资源所有者和主体可使用 AWS Global Accelerator 控制台或使用 AWS CLI 及 Global Accelerator 操作来识别共享资源。例如，您可以执行以下操作：
+ 作为所有者，您可以查看跨账户附件的列表，并查看每个附件中的主体和资源。
+ 作为主体，您可以查看列出您的全部跨账户附件，也可以列出可添加为加速器、特定附件的端点或 IP 地址范围的资源。

有关使用 API 操作查看跨账户附件和共享资源的更多信息，请参阅 [AWS Global Accelerator API 参考指南](https://docs.aws.amazon.com/global-accelerator/latest/api/Welcome.html)。

## 使用所有者身份：在 Global Accelerator 中识别跨账户资源
<a name="cross-account-resources.identify-cross-account-owner"></a>

作为所有者，您可以在 AWS 管理控制台 中查看跨账户附件，或者使用 AWS Command Line Interface 与 Global Accelerator API 操作查看跨账户附件。

## 查看跨账户附件

+ 在 Global Accelerator 控制台中，选择**跨账户附件**。

## 查看跨账户附件中包含的信息的方法


1. 在 Global Accelerator 控制台的**跨账户附件**页面上，选择一个附件，然后选择**查看详细信息**。

   -或-

1. 例如，通过使用 AWS Command Line Interface 来使用 API 操作 [ListCrossAccountResources](https://docs.aws.amazon.com/global-accelerator/latest/api/API_ListCrossAccountResources.html)。此操作会返回账户中每个附件、每项资源的唯一附件资源对列表。

   例如，假设您有两个跨账户附件，第一个包含两个端点和一个 CIDR 块，而第二个包含三个端点，则 `ListCrossAccountResources` 会返回六个附件资源对：attachment1-endpoint1、attachment1-endpoint2、attachment1-CIDR、attachment2-endpoint3、attachment2-endpoint4 和 attachment2-endpoint5。

## 作为主体：在 Global Accelerator 中识别跨账户资源
<a name="cross-account-resources.identify-cross-account-principal"></a>

作为主体，在获得跨账户附件授权以将资源作为端点添加到加速器后，无需执行任何其他操作即可将资源添加为端点。

您可以看到，AWS 账户 已创建跨账户附件，您在其中被列为主体。您还可以看到，每个账户创建的附件中指定的资源，您可以将这些资源添加为加速器的端点或 IP 地址范围。

## 查看已创建跨账户附件且您在其中被列为主体的账户的方法


1. 在 Global Accelerator 控制台中，在加速器的**端点详细信息**页面上选择**添加端点**。

1. 在**添加端点**页面上，选择**添加跨账户附件中指定的资源**。

1. 在**为跨账户附件所有者选择账户 ID** 下拉菜单中，查看允许您在跨账户附件中向加速器添加资源的一个或多个账户。

## 查看每个账户创建的附件中指定端点资源的方法


1. 在 Global Accelerator 控制台中，在加速器的**端点详细信息**页面上选择**添加端点**。

1. 在**添加端点**页面上，选择**添加跨账户附件中指定的资源**。

1. 在下拉菜单中，选择一个允许您在跨账户附件中向加速器添加资源的账户。

1. 为**端点类型**选择一种资源类型。

   请注意，只有跨账户附件中包含的资源类型才会出现在下拉菜单中。

1. **端点**下拉菜单中包含一个资源列表。这些资源是由创建跨账户附件的账户授权添加的，用于特定资源类型的端点。

1. 要查看您可以添加的、由其他账户创建的跨账户附件中指定的资源，请执行以下操作：在**为跨账户附件所有者选择账户 ID** 下拉菜单中，选择不同的 AWS 账户。

## 查看账户创建的附件中指定 IP 地址资源的方法


1. 在 Global Accelerator 控制台中，选择**创建加速器**。

1. 在**输入名称**页面上，为 IP 地址类型选择 **IPv4**。

1. 在 IP 地址池选择下，选择**使用跨账户附件中指定的共享 IP 地址池**。

1. 选择一个允许您在跨账户附件中从共享 IP 地址池选择 IP 地址的账户。

1. 对于 **IP 地址池**，您可在下拉列表中查看共享 IP 地址池。

   请注意，只有包含在跨账户附件中且允许您使用的共享 IP 地址池才会出现在下拉菜单中。

# Global Accelerator 中跨账户资源的责任和权限
<a name="cross-account-resources-endpoints.responsibilities-cross-account"></a>

以下几节列出了您作为资源所有者或主体在 AWS Global Accelerator 中拥有的跨账户访问权限。

## 资源所有者的权限
<a name="perms-owner"></a>

作为资源所有者，当您授权主体人将您的 AWS 账户 资源添加到其加速器或特定加速器时，主体可添加您在跨账户附件中列出的任何资源。

作为资源所有者，您负责创建、管理和删除您的资源。除非您的角色已获授权，否则您无法在加速器中添加或移除资源。

如果您拥有加速器并且需要添加跨账户资源，主体可在 IAM 中设置一个拥有资源访问权限的角色，并将您的账户添加到该角色。

您可以在跨账户附件中添加或移除主体或资源，以管理您拥有的资源是用作加速器的端点还是共享 IP 地址池。

## 主体的权限
<a name="perms-principal"></a>

通常而言，主体可向附件提供权限的加速器添加跨账户附件中列出的资源。对于其有权访问的跨账户资源，他们只能查看、添加或移除端点，或者从 BYOIP 地址池中选择共享 IP 地址。

以下内容适用于主体：
+ 主体只能在跨账户附件中查看、添加或移除作为加速器端点或共享 IP 地址池的资源。
+ 主体只能修改自己拥有的资源，例如负载均衡器。他们不能修改跨账户附件中指定的资源，因为这些资源属于资源所有者。

尽管主体无法修改实际的跨账户资源，但基于跨账户附件，资源所有者可创建一个 IAM 角色以提供资源访问权限。然后，所有者可授予主体承担该角色的权限，这样主体即可按照所有者通过角色权限指定的方式访问资源。

# Global Accelerator 中跨账户资源的账单费用
<a name="cross-account-resources-endpoints.billing-cross-account"></a>

AWS Global Accelerator 中的加速器所有者需要支付与该加速器相关的费用。对于加速器所有者或资源所有者而言，将跨账户资源添加为端点或作为加速器自带 IP 地址（BYOIP）池无需支付额外的费用。

有关定价的更多信息，请参阅[AWS Global Accelerator 定价](introduction-pricing.md)。

# Global Accelerator 中跨账户资源的配额
<a name="cross-account-resources-endpoints.quotas-cross-account"></a>

您在 AWS Global Accelerator 中使用跨账户附件和跨账户资源时，以下内容适用：
+ 添加为加速器端点的所有跨账户资源和其他资源（包括所有拥有跨账户权限的主体添加的资源）都会计入对该加速器生效的配额。
+ 系统会对主体强制执行加速器配额。
+ Global Accelerator 中的跨账户附件配额会对资源所有者强制执行。

有关限额的更多信息，请参阅[AWS Global Accelerator 的配额](limits-global-accelerator.md)。