本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Verified Access 组
Verified Access 组由 Verified Access 端点和适用于组中所有端点的 Verified Access 策略组成。通过将具有共同安全要求的端点分到一组,您可以定义满足多个端点最低安全要求的单个组策略。这样,您就不需要为每个端点创建和维护策略。
例如,您可以将所有销售应用程序分到一组并设置全组访问策略。然后,可以使用此策略为所有销售应用程序定义一组通用的最低安全要求。这种方法有助于简化策略管理。
创建组时,需要将组与 Verified Access 实例相关联。在创建端点的过程中,将端点与组相关联。
Verified Access 群组的另一个功能是能够使用与其他AWS账户共享这些群组AWS RAM。这样,您就可以在一个账户中集中创建和管理组,然后与多个账户共享组。
**Topics**
+ [创建和管理已验证访问权限组](create-verified-access-group.md)
+ [修改 Verified Access 组策略](modify-verified-access-group-policy.md)
+ [与其他账户共享组](sharing-groups.md)
+ [删除 Verified Access 组](delete-verified-access-group.md)
# 创建和管理已验证访问权限组
使用 Verified Access 组根据端点的安全要求组织端点。创建 Verified Access 端点时,将该端点与组相关联。
**Topics**
+ [创建 Verified Access 组](#create-group)
+ [修改已验证的访问权限组](#modify-group)
## 创建 Verified Access 组
使用以下过程创建 “已验证访问权限” 组。在创建已验证访问组之前,必须创建已验证访问权限实例。有关更多信息,请参阅 [创建 Verified Access 实例](create-verified-access-instance.md#create-instance)。
**使用控制台创建已验证访问权限组**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Verified Access 组**,然后选择**创建 Verified Access 组**。
1. (可选)在**名称标签**和**描述**中,输入组的名称和描述。
1. 对于 **Verified Access 实例**,选择要与该组关联的 Verified Access 实例。
1. (可选)在**策略定义**中,输入要应用于该组的 Verified Access 策略。
1. (可选)若要添加标签,请选择 **Add new tag**(添加新标签),然后输入该标签的键和值。
1. 选择**创建 Verified Access 组**。
**使用创建已验证访问权限组 AWS CLI**
使用 [create-verified-access-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-group.html) 命令。
## 修改已验证的访问权限组
使用以下步骤修改已验证访问权限组。
**使用控制台修改已验证访问权限组**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Verified Access 组**,然后选择**创建 Verified Access 组**。
1. 选择该组,然后选择**操作**、**修改已验证访问权限组**。
1. (可选)更新描述。
1. 选择**创建 Verified Access 组**。
1. 选择要与该组关联的已验证访问权限实例。
**使用修改已验证访问权限组 AWS CLI**
使用 [modify-verified-access-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-group.html) 命令。
# 修改 Verified Access 组策略
AWS Verified Access允许根据您创建的访问策略访问您的应用程序。您附加到组的已验证访问策略将由该组中的所有终端节点继承。您可以选择将特定于应用程序的策略附加到特定的终端节点。
使用以下过程修改 Verified Access 组的策略。需要等待几分钟,更改才会生效。
**使用控制台修改已验证访问权限组策略**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Verified Access 组**。
1. 选择 组。
1. 选择**操作**、**修改 Verified Access 组策略**。
1. (可选)根据需要打开或关闭**启用策略**。
1. (可选)对于**策略**,输入要应用于组的 Verified Access 策略。
1. 选择**修改 Verified Access 组策略**。
**使用修改已验证访问权限组策略 AWS CLI**
使用 [modify-verified-access-group-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-group-policy.html) 命令。
# 与另一个群组共享已验证访问群组 AWS 账户
当您与其他AWS账户共享您拥有的已验证访问群组时,您可以允许这些账户在群组中创建已验证访问终端节点。在其中创建 Verified Access 组的账户称为*所有者*账户。使用共享组的账户称为*使用者*账户。
下图说明了共享 Verified Access 组的好处。中央安全团队拥有账户 A。他们管理中的用户和群组AWS IAM Identity Center,并管理提供内部应用程序访问权限所需的已验证访问资源,例如已验证访问信任提供者、已验证访问实例、已验证访问权限组和已验证访问策略。应用程序团队拥有账户 B。他们管理运行其内部应用程序所需的资源,例如负载均衡器、Auto Scaling 组、Amazon Route 53 中的 DNS 配置和来自 AWS Certificate Manager (ACM) 的 TLS 证书。在中央安全团队与账户 B 共享 Verified Access 组后,应用程序团队可以使用共享组创建 Verified Access 端点。根据中央安全团队为 Verified Access 组创建的策略,允许或拒绝对应用程序的访问。
![\[在企业中的账户之间共享 Verified Access 组。\]](http://docs.aws.amazon.com/zh_cn/verified-access/latest/ug/images/shared-groups.png)
## 注意事项
以下注意事项适用于共享 Verified Access 组。
**所有者**
+ 要共享 Verified Access 组,用户必须具有以下权限:`ec2:PutResourcePolicy` 和 `ec2:DeleteResourcePolicy`。
+ 要共享 Verified Access 组,您必须是其所有者。您无法共享他人共享给您的 Verified Access 组。
+ 如果您启用与贵企业中的账户共享,则无需使用邀请即可共享资源,例如 Verified Access 组。否则,使用者会收到邀请,且必须接受邀请才能访问共享组。要启用共享,请在组织的管理帐户中打开AWS RAM控制台中的 **[“设置”](https://console.aws.amazon.com/ram/home#Settings:)** 页面,然后选择 “**启用与之共享**” AWS Organizations。
+ 如果存在关联的 Verified Access 端点,则无法删除组。您可以在您的账户的 **Verified Access 端点**页面上查看使用者账户创建的端点。端点所有者的账户 ID 反映在端点证书的 Amazon 资源名称(ARN)中。
**消费者**
+ 要查看与您共享的已验证访问权限组,请在控制台中打开**已验证访问权限组**页面,或致电[describe-verified-access-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-verified-access-groups.html)。所有者的账户 ID 将反映在组的**所有者**字段和 Amazon 资源名称(ARN)中。
+ 创建 Verified Access 端点时,可以指定他人共享给您的任何 Verified Access 组。
+ 您无法查看与共享组关联但不归您所有的端点。
+ 如果 Verified Access 组的所有者删除了资源共享,则您无法在组中创建新的 Verified Access 端点。您在删除资源共享之前创建的任何 Verified Access 端点都不会受到资源共享删除的影响。但是,共享组的所有者可以删除您的端点。
## 资源共享
要共享 Verified Access 组,您必须将其添加到资源共享。资源共享指定要共享的资源以及可以使用共享资源的使用者。
**使用控制台共享已验证访问权限组**
1. 在家中打开[https://console.aws.amazon.com/ram/主AWS RAM](https://console.aws.amazon.com/ram/home)机。
1. 如果贵企业没有资源共享,您可以创建一个。对于委托人,您可以选择整个组织、组织单位或特定AWS帐户。
1. 选择资源共享,然后选择**修改**。
1. 对于 `Resources`,选择 **Verified Access 组**作为资源类型,然后选择要共享的资源组。
1. 选择**跳至:查看并更新**。
1. 选择**更新资源共享**。
有关更多信息,请参阅《*AWS RAM 用户指南*》中的 [Create a resource share](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)。
# 删除 Verified Access 组
用完 Verified Access 组后可以将其删除。如果存在关联的 Verified Access 端点,则无法删除组。
**使用控制台删除已验证访问权限组**
1. 打开位于 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 的 Amazon VPC 控制台。
1. 在导航窗格中,选择 **Verified Access 组**。
1. 选择 组。
1. 选择**操作**、**删除 Verified Access 组**。
1. 提示进行确认时,输入 **delete**,然后选择 **Delete(删除)**。
**使用删除已验证访问权限组 AWS CLI**
使用 [delete-verified-access-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-group.html) 命令。