本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 支援 ARC 中叢集的跨帳戶
<a name="routing-control.failover-different-accounts"></a>

Amazon Application Recovery Controller (ARC) 與 整合 AWS Resource Access Manager 以啟用資源共用。 AWS RAM 是一種服務，可讓您與其他 AWS 帳戶 或透過 共用資源 AWS Organizations。對於 ARC 路由控制，您可以共用叢集資源。

您可以透過建立資源共享 AWS RAM，與 共用您擁有*的資源*。資源共用會指定要共用的資源，以及要共用的資源*參與者*。參與者可以包括：
+ 中的擁有者組織 AWS 帳戶 內部或外部特定 AWS Organizations
+ 中的組織單位 AWS Organizations
+ 其在 中的整個組織 AWS Organizations

如需 的詳細資訊 AWS RAM，請參閱*[AWS RAM 《 使用者指南》](https://docs.aws.amazon.com/ram/latest/userguide/)*。

透過使用 AWS Resource Access Manager 在 ARC 中跨帳戶共用叢集資源，您可以使用一個叢集來託管數個不同 擁有的控制面板和路由控制 AWS 帳戶。當您選擇共用叢集時， AWS 帳戶 您指定的其他 可以使用叢集來託管自己的控制面板和路由控制，從而對跨不同團隊的路由功能提供更多控制和彈性。

AWS RAM 是一項服務，可 AWS 協助客戶安全地跨 共用資源 AWS 帳戶。透過 AWS RAM，您可以使用 IAM 角色和使用者 AWS Organizations在 中的組織或組織單位 (OUs) 內共用資源。 AWS RAM 是一種集中且受控制的方式，可共用叢集。

當您共用叢集時，您可以減少組織所需的叢集總數。透過共用叢集，您可以分配在不同團隊之間執行叢集的總成本，以降低成本最大化 ARC 的優勢。（建立在叢集中託管的資源不會對擁有者或參與者產生額外費用。) 跨帳戶共用叢集也可以簡化將多個應用程式加入 ARC 的程序，特別是如果您有大量應用程式分散在多個帳戶和營運團隊。

若要開始使用 ARC 中的跨帳戶共用，您可以在其中建立*資源共用* AWS RAM。資源共享會指定有權共享您帳戶所擁有叢集*的參與者*。然後，參與者可以使用 或使用 AWS Command Line Interface AWS SDKs AWS 管理主控台 執行 ARC API 操作，在叢集中建立資源，例如控制面板和路由控制。

本主題說明如何共用您擁有的參數，以及如何使用與您共用的參數。

**Topics**
+ [共用叢集的先決條件](#sharing-prereqs)
+ [共用叢集](#sharing-share)
+ [取消共用共用叢集](#sharing-unshare)
+ [識別共用叢集](#sharing-identify)
+ [共用叢集的責任和許可](#sharing-perms)
+ [帳單成本](#sharing-billing)
+ [配額](#sharing-quotas)

## 共用叢集的先決條件
<a name="sharing-prereqs"></a>
+ 若要共用叢集，您必須在 中擁有叢集 AWS 帳戶。這表示必須在您的帳戶中配置或佈建資源。您無法共用已與您共用的叢集。
+ 若要與組織或 中的組織單位共用叢集 AWS Organizations，您必須啟用與 共用 AWS Organizations。如需詳細資訊，請參閱《*AWS RAM 使用者指南*》中的[透過 AWS Organizations啟用共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
+ AWS RAM 全域資源的資源共用，例如叢集，必須在美國東部 （維吉尼亞北部） 區域 (us-east-1) 建立。

## 共用叢集
<a name="sharing-share"></a>

當您共享您擁有的叢集時，您指定共享叢集的參與者可以在叢集中建立和託管自己的 ARC 資源。

若要共用叢集，您必須將其新增至資源共用。資源共用是可讓您在 AWS 帳戶之間共用資源的一種 AWS RAM 資源。資源共用會指定要共用的資源，以及與其共用的參與者。若要共用叢集，您可以建立新的資源共用，或將資源新增至現有的資源共用。若要建立新的資源共享，您可以使用 [AWS RAM 主控台](https://console.aws.amazon.com/ram)，或搭配 AWS Command Line Interface AWS SDKs使用 AWS RAM API 操作。

如果您是 中的組織的一部分， AWS Organizations 且已啟用組織內的共用，則組織中的參與者會自動獲得共用叢集的存取權。否則，參與者會收到加入資源共享的邀請，並在接受邀請後獲得共用叢集的存取權。

您可以使用 AWS RAM 主控台，或搭配 AWS CLI 或 SDK 使用 AWS RAM API 操作，來共用您擁有的叢集。 SDKs

**使用 AWS RAM 主控台共用您擁有的叢集**  
請參閱*AWS RAM 《 使用者指南*》中的[建立資源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)。

**使用 共享您擁有的叢集 AWS CLI**  
使用 [create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 命令。

**授予共用叢集的許可**

在帳戶之間共用叢集需要 IAM 主體透過 共用叢集的許可 AWS RAM。

我們建議您使用 `AmazonRoute53RecoveryControlConfigFullAccess`受管 IAM 政策，以確保您的 IAM 主體具有共用和使用共用叢集所需的許可。

使用自訂 IAM 政策共用叢集需要該叢集的 `route53-recovery-control-config:PutResourcePolicy`、 `route53-recovery-control-config:GetResourcePolicy`和 `route53-recovery-control-config:DeleteResourcePolicy`許可。 `PutResourcePolicy`和 `DeleteResourcePolicy`是僅限許可的 IAM 動作。在沒有這些許可 AWS RAM 的情況下嘗試透過 共用叢集將導致錯誤。

如需 IAM AWS Resource Access Manager 使用方式的詳細資訊，請參閱*AWS RAM 《 使用者指南*》中的[如何使用 AWS Resource Access Manager IAM](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html)。

## 取消共用共用叢集
<a name="sharing-unshare"></a>

當您取消共用叢集時，下列項目適用於參與者和擁有者：
+ 目前參與者資源會繼續存在於未共用的叢集中。
+ 參與者可以繼續更新未共用叢集中的路由控制狀態，以管理應用程式容錯移轉的路由。
+ 參與者無法再於未共用叢集中建立新的資源。
+ 如果參與者在未共用叢集中仍有資源，則擁有者無法刪除共用叢集。

若要取消共用您擁有的共用叢集，請從資源共用中移除它。您可以使用 AWS RAM 主控台或搭配 或 AWS CLI SDKs 使用 AWS RAM API 操作來執行此操作。

**使用 AWS RAM 主控台取消共用您擁有的共用叢集**  
請參閱《*AWS RAM 使用者指南*》中的[更新資源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)。

**使用 取消共用您擁有的共用叢集 AWS CLI**  
使用 [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 命令。

## 識別共用叢集
<a name="sharing-identify"></a>

擁有者和參與者可以透過在 中檢視資訊來識別共用叢集 AWS RAM。他們也可以使用 ARC 主控台和 取得共用資源的相關資訊 AWS CLI。

一般而言，若要進一步了解您已共用或已與您共用的資源，請參閱 AWS Resource Access Manager 《 使用者指南》中的資訊：
+ 身為擁有者，您可以使用 檢視您與他人共用的所有資源 AWS RAM。如需詳細資訊，請參閱[在 中檢視共用資源 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-view-sr.html)。
+ 身為參與者，您可以使用 檢視與您共用的所有資源 AWS RAM。如需詳細資訊，請參閱[在 中檢視共用資源 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-shared-view-sr.html)。

身為擁有者，您可以透過在 中檢視資訊 AWS 管理主控台 或使用 AWS Command Line Interface 搭配 ARC API 操作來判斷是否要共用叢集。

**使用主控台識別是否共用您擁有的叢集**  
在叢集 AWS 管理主控台的詳細資訊頁面上，請參閱**叢集共用狀態**。

**使用 識別是否共用您擁有的叢集 AWS CLI**  
使用 [ get-resource-policy](https://docs.aws.amazon.com/recovery-cluster/latest/api/resourcepolicy-resourcearn.html.html) 命令。如果叢集有資源政策，命令會傳回政策的相關資訊。

身為參與者，當叢集與您共用時，您通常必須接受共用。此外，叢集的**擁有者**欄位包含叢集擁有者的帳戶。

## 共用叢集的責任和許可
<a name="sharing-perms"></a>

### 擁有者的許可
<a name="perms-owner"></a>

當您與其他人共用您擁有的叢集時 AWS 帳戶，允許使用叢集的參與者可以在叢集中建立控制面板、路由控制和其他資源。

身為叢集擁有者，您必須負責建立、管理和刪除叢集。您無法修改或刪除參與者建立的資源，例如路由控制和安全規則。例如，您無法更新參與者建立的路由控制，以變更路由控制狀態。

不過，您可以檢視您擁有之叢集中參與者所建立路由控制的詳細資訊。例如，您可以使用 AWS Command Line Interface AWS SDKs 呼叫 [ARC 路由控制 API 操作來檢視路由控制](actions.routing-control.md)狀態。

如果您需要修改參與者建立的資源，他們可以在 IAM 中設定具有存取資源許可的角色，並將您的帳戶新增至角色。

### 參與者的許可
<a name="perms-consumer"></a>

一般而言，參與者可以在與其共用的叢集中建立並使用控制面板、路由控制、安全規則和運作狀態檢查。他們只有在擁有資源時，才能檢視、修改或刪除共用叢集中的叢集資源。例如，參與者可以為他們已建立的控制面板建立和刪除安全規則。

下列限制適用於參與者：
+ 參與者無法檢視、修改或刪除其他帳戶使用共用叢集建立的控制面板。
+ 參與者無法檢視、建立或修改其他帳戶在共用叢集中建立之資源的路由控制，包括路由控制狀態。
+ 參與者無法建立、修改或檢視共用叢集中其他帳戶建立的安全規則。
+ 參與者無法在共用叢集的預設控制面板中新增資源，因為它屬於叢集擁有者。

如上所述，參與者無法在共用叢集的預設控制面板中建立路由控制，因為叢集擁有者擁有預設控制面板。不過，叢集擁有者可以建立跨帳戶 IAM 角色，提供存取叢集預設控制面板的許可。然後，擁有者可以授予參與者擔任角色的許可，以便參與者可以存取預設控制面板來使用它，但擁有者已透過角色的許可指定。

## 帳單成本
<a name="sharing-billing"></a>

ARC 中叢集的擁有者需支付叢集的相關費用。對於叢集擁有者或參與者，建立叢集中託管的資源無需額外費用。

如需詳細的定價資訊和範例，請參閱 [Amazon Application Recovery Controller (ARC) 定價](https://aws.amazon.com/application-recovery-controller/pricing/)。

## 配額
<a name="sharing-quotas"></a>

在共用叢集中建立的所有資源，包括所有可存取共用叢集的參與者所建立的資源，都會計入叢集和其他資源的有效配額，例如路由控制。如果共用叢集資源的帳戶配額高於叢集擁有者的配額，則叢集擁有者的配額優先於共用帳戶配額。

 若要進一步了解其運作方式，請參閱下列範例。為了說明配額如何使用資源共用，針對這些範例，假設叢集擁有者是擁有者，而已共用叢集的帳戶是參與者。

**控制面板配額**  
每個叢集的擁有者控制面板總數會強制執行配額。  
例如，假設擁有者對每個叢集的控制面板數量有 50 個配額，而且叢集中有 13 個控制面板。現在，假設參與者的配額設定為 150。在此案例中，參與者最多只能在共用叢集中建立 37 個控制面板 （即 50-13)。  
此外，如果共用叢集的其他帳戶也建立控制面板，這些帳戶也會計入 50 個控制面板的叢集整體配額。

**路由控制配額**  
路由控制具有多個配額：每個控制面板的配額、每個叢集的配額，以及每個安全規則的配額。擁有者的配額優先於所有這些配額。  
例如，假設擁有者對每個叢集的路由控制數量有 300 個配額，而且叢集中已有 300 個路由控制。現在，假設參與者將此配額設定為 500。在此案例中，參與者無法在共用叢集中建立新的路由控制。

**安全規則配額**  
針對每個控制面板配額的擁有者安全規則強制執行配額。  
例如，假設每個控制面板的安全規則數量的擁有者配額為 20，且參與者將此配額設為 80。在此案例中，由於擁有者的下限優先，參與者在共用叢集的控制面板中最多只能建立 20 個安全規則。

如需路由控制配額的清單，請參閱 [路由控制的配額](routing-control.quotas.md)。