本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 入門 AWS RAM
您可以使用 AWS Resource Access Manager與其他個人共用您擁有的資源 AWS 帳戶。如果您的帳戶是由 管理 AWS Organizations,您也可以與組織中的其他帳戶共用資源。您也可以使用其他 與您共用的資源 AWS 帳戶。
如果您未啟用內部共用 AWS Organizations,則無法與組織或組織中的組織單位 (OU) 共用資源。不過,您仍然可以與 AWS 帳戶 組織中的個人共用資源。對於[支援的資源類型](shareable.md),您也可以與組織中的個別 AWS Identity and Access Management (IAM) 角色或使用者共用資源。在這種情況下,這些委託人會被視為外部帳戶,而不是組織的一部分。他們會收到加入資源共用的邀請,而且必須接受邀請才能存取共用資源。
**Topics**
+ [術語和概念](getting-started-terms-and-concepts.md)
+ [共用您的 資源](getting-started-sharing.md)
+ [使用共用資源](getting-started-shared.md)
# 的術語和概念 AWS RAM
下列概念有助於說明如何使用 AWS Resource Access Manager (AWS RAM) 來共用資源。
## 資源共享
您可以透過建立資源共用 AWS RAM 來使用 *共用資源*。資源共享具有下列三個元素:
+ 要共用的一或多個 AWS 資源清單。
+ 授予資源存取權的一或多個[委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#Principal_specifying)清單。
+ 您包含在共享中每種資源類型的[受管許可](#term-managed-permission)。每個受管許可都適用於該資源共享中該類型的所有資源。
使用 AWS RAM 建立資源共用後,資源共用中指定的主體可以獲得共用資源的存取權。
+ 如果您開啟與 AWS RAM 共用 AWS Organizations,且與 共用的主體位於共用帳戶相同的組織中,則只要這些主體的帳戶管理員授予他們使用 資源的許可,這些主體就可以接收存取權 AWS Identity and Access Management 。
+ 如果您未開啟與 Organizations AWS RAM 共用,您仍然可以與組織中 AWS 帳戶 的個人共用資源。取用帳戶中的管理員會收到加入資源共用的邀請,他們必須先接受邀請,資源共用中指定的主體才能存取共用資源。
+ 如果資源類型支援,您也可以與組織外部的帳戶共用。取用帳戶中的管理員會收到加入資源共用的邀請,他們必須先接受邀請,資源共用中指定的主體才能存取共用資源。如需有關哪些資源類型支援這種共用類型的資訊,請參閱[可共用 AWS 的資源](shareable.md)並檢視**可與其組織資料欄外的帳戶共用**。
## 共用帳戶
*共用帳戶*包含共用的資源,以及 AWS RAM 管理員使用 在其中建立 AWS 資源共用的資源 AWS RAM。
AWS RAM 管理員是有權在 中建立和設定資源共用的 IAM 主體 AWS 帳戶。由於 AWS RAM 的運作方式是將資源型政策連接至資源共享中的資源,因此 AWS RAM 管理員也必須具有許可,才能 AWS 服務 針對資源共享中包含的每個資源類型,在 中呼叫 `PutResourcePolicy`操作。
## 取用主體
*耗用帳戶*是資源共用 AWS 帳戶 的 。資源共享可以將整個帳戶指定為委託人,或針對某些資源類型指定為帳戶中的個別角色或使用者。如需有關哪些資源類型支援這種共用類型的資訊,請參閱 [可共用 AWS 的資源](shareable.md)和檢視**可與 IAM 角色和使用者共用**欄。
AWS RAM 也支援服務主體做為資源共用的取用者。如需有關哪些資源類型支援這種共用類型的資訊,請參閱 [可共用 AWS 的資源](shareable.md)和檢視**可與服務主體共用**欄。
取用帳戶中的主體只能執行下列***兩個***許可允許的這些動作:
+ 連接至資源共享的受管許可。這些指定可授予取用帳戶中主體*的最大*許可。
+ 取用帳戶中 IAM 管理員連接到個別角色或使用者的 IAM 身分型政策。這些政策必須授予共用帳戶中資源的指定動作和 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) 的`Allow`存取權。
AWS RAM 支援下列 IAM 主體類型作為資源共用的取用者:
+ **另一個 AWS 帳戶** – 資源共用可讓共用帳戶中包含的資源可供取用帳戶使用。
+ **另一個帳戶中的個別 IAM 角色或使用者** – 有些資源類型支援直接與個別 IAM 角色或使用者共用。依其 ARN 指定此委託人類型。
+ **IAM 角色** – `arn:aws:iam::123456789012:role/rolename`
+ **IAM 使用者** – `arn:aws:iam::123456789012:user/username`
+ **服務主體** – 與 AWS 服務共用資源,以授予服務對資源共用的存取權。服務主體共享可讓 AWS 服務代表您採取動作,以減輕營運負擔。
若要與服務委託人共用,請選擇允許與任何人共用,然後在**選取委託人類型**下,從下拉式清單中選擇**服務委託人**。以下列格式指定服務主體的名稱:
+ `service-id.amazonaws.com`
為了降低混淆代理人的風險,資源政策會在`aws:SourceAccount`條件索引鍵中顯示資源擁有者的帳戶 ID。
+ **組織中的帳戶** – 如果共用帳戶是由 管理 AWS Organizations,則資源共用可以指定要與組織中的所有帳戶共用的組織 ID。資源共用也可以指定組織單位 (OU) ID 來與該 OU 中的所有帳戶共用。共用帳戶只能與自己的組織或自己的組織內的 OU IDs 共用。依組織的 ARN 或 OU 指定組織中的帳戶。
+ **組織中的所有帳戶** – 以下是 中組織的範例 ARN AWS Organizations:
`arn:aws:organizations::123456789012:organization/o-`
+ **組織單位中的所有帳戶** – 以下是 OU ID 的範例 ARN:
`arn:aws:organizations::123456789012:organization/o-/ou--`
**重要**
當您與組織或 OU 共用,且該範圍包含擁有資源共用的帳戶時,共用帳戶中的所有主體都會自動存取共用中的資源。授予的存取權是由與共用相關聯的受管許可所定義。這是因為 AWS RAM 連接至共用中每個資源的資源型政策使用 `"Principal": "*"`。如需詳細資訊,請參閱[在以資源為基礎的政策"Principal": "\$1"中使用 的影響](#term-principal-star)。
其他取用帳戶中的委託人不會立即存取共用的資源。其他帳戶的管理員必須先將身分型許可政策連接至適當的主體。這些政策必須授予資源共享中個別資源ARNs `Allow`存取權。這些政策中的許可不能超過與資源共用相關聯的受管許可中指定的許可。
## 以資源為基礎的政策
以資源為基礎的政策是實作 IAM 政策語言的 JSON 文字文件。與您連接到主體的身分型政策不同,例如 IAM 角色或使用者,您可以將資源型政策連接到 資源。 會根據您為資源共享提供的資訊,代表您 AWS RAM 撰寫資源型政策。您必須指定`Principal`政策元素,以決定誰可以存取資源。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[身分型政策和資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。
產生的資源型政策 AWS RAM 會與所有其他 IAM 政策類型一起評估。這包括連接到嘗試存取資源之主體的任何 IAM 身分型政策,以及可能適用於 AWS Organizations 的服務控制政策 (SCPs) AWS 帳戶。所產生的資源型政策會 AWS RAM 參與與所有其他 IAM 政策相同的政策評估邏輯。如需政策評估的完整詳細資訊,以及如何判斷產生的許可,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
AWS RAM 透過提供easy-to-use抽象資源型政策,提供簡單且安全的資源共用體驗。
對於支援資源型政策的資源類型, AWS RAM 會自動為您建構和管理資源型政策。對於指定的資源, AWS RAM 會結合來自包含該資源之所有資源共用的資訊,以建置資源型政策。例如,請考慮您使用 共用的 Amazon SageMaker AI 管道, AWS RAM 並包含在兩個不同的資源共用中。您可以使用一個資源共享來提供整個組織的唯讀存取權。然後,您可以使用其他資源共享,僅將 SageMaker AI 執行許可授予單一帳戶。 AWS RAM 會自動將這兩組不同的許可組合成具有多個陳述式的單一資源政策。然後,它會將合併的資源型政策連接到管道資源。您可以透過呼叫 [https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html)操作來檢視此基礎資源政策。 AWS 服務 然後使用該資源型政策來授權嘗試對共用資源執行動作的任何委託人。
雖然您可以手動建立以資源為基礎的政策,並透過呼叫 將其連接至您的資源`PutResourcePolicy`,但我們建議您使用 AWS RAM ,因為它提供下列優點:
+ **共用消費者的可探索性** – 如果您使用 共用資源 AWS RAM,使用者可以直接在擁有服務的資源主控台和 API 操作中查看與他們共用的所有資源,就像這些資源直接在使用者帳戶中一樣。例如,如果您與其他帳戶共用 AWS CodeBuild 專案,則耗用帳戶中的使用者可以在 CodeBuild 主控台和執行的 CodeBuild API 操作結果中查看專案。直接連接以資源為基礎的政策所共用的資源不會以這種方式顯示。反之,您必須透過其 ARN 探索並明確參考資源。
+ **共用擁有者的可管理性** – 如果您使用 共用資源 AWS RAM,共用帳戶中的資源擁有者可以集中查看哪些其他帳戶可以存取其資源。如果您使用以資源為基礎的政策共用資源,則只有在相關服務主控台或 API 中檢查個別資源的政策,才能查看耗用帳戶。
+ **效率** – 如果您使用 共用資源 AWS RAM,則可以共用多個資源,並將其作為一個單位進行管理。僅使用資源型政策共用的資源,需要將個別政策連接到您共用的每個資源。
+ **簡單 –** 透過 AWS RAM,您不需要了解以 JSON 為基礎的 IAM 政策語言。 AWS RAM 提供ready-to-use AWS 受管許可,您可以從中選擇連接到資源共用。
透過使用 AWS RAM,您甚至可以共用一些尚不支援資源型政策的資源類型。對於這類資源類型, AWS RAM 會自動產生以資源為基礎的政策,做為實際許可的表示。使用者可以呼叫 來檢視此表示[https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_GetResourcePolicies.html)。這包括下列資源類型:
+ Amazon Aurora – 資料庫叢集
+ Amazon EC2 – 容量保留和專用主機
+ AWS License Manager – 授權組態
+ AWS Outposts – 本機閘道路由表、前哨站和網站
+ Amazon Route 53 – 轉送規則
+ Amazon Virtual Private Cloud – 客戶擁有的 IPv4 地址、字首清單、子網路、流量鏡射目標、傳輸閘道和傳輸閘道多點傳送網域
### AWS RAM 產生的資源型政策範例
如果您與個別***帳戶***共用 EC2 Image Builder 映像資源, AWS RAM 會產生如下所示的政策,並將其連接到資源共用中包含的任何映像資源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:root"
},
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
}
]
}
```
------
如果您與不同 中的 ***IAM 角色或使用者***共用 EC2 Image Builder 映像資源 AWS 帳戶, AWS RAM 會產生如下所示的政策,並將其連接到資源共用中包含的任何映像資源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:role/MySampleRole"
},
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
}
]
}
```
------
如果您與組織中的所有帳戶或 OU 帳戶共用 EC2 Image Builder 映像資源, AWS RAM 會產生如下所示的政策,並將其連接到資源共用中包含的任何映像資源。
**注意**
此政策使用 `"Principal": "*"` ,然後使用 `"Condition"`元素將許可限制為符合指定 的身分`PrincipalOrgID`。如需詳細資訊,請參閱[在以資源為基礎的政策"Principal": "\$1"中使用 的影響](#term-principal-star)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"imagebuilder:GetImage",
"imagebuilder:ListImages"
],
"Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-123456789"
}
}
}
]
}
```
------
### 在以資源為基礎的政策"Principal": "\$1"中使用 的影響
當您在以資源為基礎的政策`"Principal": "*"`中包含 時,該政策會將存取權授予帳戶中包含資源的所有 IAM 主體,如果存在,則受`Condition`元素施加的任何限制約束。適用於呼叫主體的任何政策中的明確`Deny`陳述式會覆寫此政策授予的許可。不過,任何適用的身分政策、許可界限政策或工作階段政策中的***隱含* **`Deny`(表示缺少*明確的 * `Allow`) ***不會***導致 `Deny` 被此類資源型政策授予存取 動作的委託人。
如果此行為不適合您的案例,則您可以將***明確***`Deny`陳述式新增至會影響相關角色和使用者的身分政策、許可界限或工作階段政策,以限制此行為。
## 受管許可
受管許可定義主體在資源共享中支援的資源類型上可在哪些條件下執行的動作。當您建立資源共享時,您必須指定要針對資源共享中包含的每個資源類型使用哪個受管許可。受管許可會列出委託人可以使用 共用資源執行的一組 `actions`和 *條件* AWS RAM。
您只能為資源共享中的每個資源類型連接一個受管許可。您無法建立資源共享,其中某些特定類型的資源使用一個受管許可,而其他相同類型的資源使用不同的受管許可。若要這樣做,您需要建立兩個不同的資源共享,並在其中分割資源,為每個集提供不同的受管許可。受管許可有兩種不同類型:
**AWS 受管許可**
AWS 受管許可由 建立和維護 AWS ,並授予常見客戶案例的許可。 會為每個支援的資源類型 AWS RAM 定義至少一個 AWS 受管許可。有些資源類型支援多個 AWS 受管許可,其中有一個受管許可指定為 AWS 預設值。除非您另外指定,否則[預設 AWS 受管許可](security-ram-permissions.md#permissions-types)會相關聯。
**客戶受管許可**
客戶受管許可是您編寫和維護的受管許可,方法是精確指定哪些動作可在使用 共用資源的條件下執行 AWS RAM。例如,您想要限制 Amazon VPC IP Address Manager (IPAM) 集區的讀取存取權,這可協助您大規模管理 IP 地址。您可以建立客戶受管許可,讓開發人員指派 IP 地址,但無法檢視其他開發人員帳戶指派的 IP 地址範圍。您可以遵循最低權限的最佳實務,只授予對共用資源執行任務所需的許可。
您可以在資源共享中為資源類型定義自己的許可,並可選擇新增條件,例如[全域內容金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)[和服務特定金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html),以指定主體可以存取資源的條件。這些許可可用於一或多個 AWS RAM 共用。客戶受管許可為區域特定。
AWS RAM 接受 受管許可做為輸入,為您共用的資源撰寫以資源[為基礎的政策](#term-resource-based-policy)。
## 受管許可版本
受管許可的任何變更都會以該受管許可的新版本表示。新版本是所有新資源共用的預設值。每個受管許可一律有一個指定為預設版本的版本。當您或 AWS 建立新的受管許可版本時,您必須明確更新每個現有資源共享的受管許可。您可以在此步驟中將變更套用至資源共享之前評估變更。所有新的資源共享都會自動為對應的資源類型使用新版本的受管許可。
**AWS 受管許可版本**
AWS 會處理 AWS 受管許可的所有變更。此類變更可解決新功能或移除發現的缺點。您只能將預設受管許可版本套用至資源共用。
**客戶受管許可版本**
您可以處理客戶受管許可的所有變更。您可以建立新的預設版本、將較舊版本設定為預設版本,或刪除不再與任何資源共用相關聯的版本。每個客戶受管許可最多可以有五個版本。
當您建立或更新資源共享時,您只能連接指定受管許可的預設版本。如需詳細資訊,請參閱[將 AWS 受管許可更新至較新版本](working-with-sharing-update-permissions.md)。
# 共用您的 AWS 資源
若要使用 共用您擁有的資源 AWS RAM,請執行下列動作:
+ [在 中啟用資源共用 AWS Organizations](#getting-started-sharing-orgs) (選用)
+ [建立資源共用](#getting-started-sharing-create)
**備註**
與 AWS 帳戶 擁有資源的 外部主體共用資源,並不會變更套用至建立資源之帳戶中資源的許可或配額。
AWS RAM 是區域服務。您共用的委託人只能在建立資源 AWS 區域 的 中存取資源共用。
有些資源有特殊考量和共用的先決條件。如需詳細資訊,請參閱[可共用 AWS 的資源](shareable.md)。
## 在 中啟用資源共用 AWS Organizations
當您的帳戶由 管理時 AWS Organizations,您可以利用它來更輕鬆地共用資源。無論是否有 Organizations,使用者可以與個別帳戶共用。不過,如果您的帳戶位於組織中,則您可以與個別帳戶或組織或 OU 中的所有帳戶共用,而不必列舉每個帳戶。
若要在組織內共用資源,您必須先使用 AWS RAM 主控台或 AWS Command Line Interface (AWS CLI) 來啟用共用 AWS Organizations。當您在組織中共用資源時, AWS RAM 不會傳送邀請給委託人。組織中的委託人可以存取共用資源,而無需交換邀請。
當您在組織內啟用資源共用時, 會 AWS RAM 建立稱為 的服務連結角色`AWSServiceRoleForResourceAccessManager`。此角色只能由 AWS RAM 服務擔任,並授予 AWS RAM 許可,以使用 AWS 受管政策 擷取其所屬組織的相關資訊`AWSResourceAccessManagerServiceRolePolicy`。
**注意**
根據預設,當您啟用與 共用時 AWS Organizations,組織內的資源共用會限制相同組織中的消費者存取。如果取用者帳戶離開組織,該帳戶將無法存取資源共享中的資源。無論您與 OU、整個組織或組織中的個別帳戶共用資源,都適用此限制。
對於組織內account-to-account共用,您可以在建立新資源共用時將 設定為 `RetainSharingOnAccountLeaveOrganization`,以在帳戶離開`True`時保留共用存取權。啟用此設定後, 會 AWS RAM 傳送邀請給耗用帳戶 (類似於與外部帳戶共用)。即使離開組織,帳戶仍會保留對共用資源的存取權。
`RetainSharingOnAccountLeaveOrganization` 設定具有下列需求和限制:
`allowExternalPrincipals` 需要 `True`
只能在建立新的資源共用時設定
不適用於與 OUs或整個組織共用
當 `RetainSharingOnAccountLeaveOrganization` 設為 時`True`,您無法使用資源共用來共用[只能在組織內共用](shareable.html)的資源。
如果您不再需要與整個組織或 OUs 共用資源,您可以停用資源共用。如需詳細資訊,請參閱[使用 停用資源共用 AWS Organizations](security-disable-sharing-with-orgs.md)。
**最低許可**
若要執行下列程序,您必須以具有下列許可的組織管理帳戶中的委託人身分登入:
+ `ram:EnableSharingWithAwsOrganization`
+ `iam:CreateServiceLinkedRole`
+ `organizations:enableAWSServiceAccess`
+ `organizations:DescribeOrganization`
**要求**
+ 只有在以組織的管理帳戶中的委託人身分登入時,才能執行這些步驟。
+ 組織必須啟用所有功能。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》[中的啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
**重要**
您必須使用 AWS RAM 主控台或 [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) AWS CLI 命令 AWS Organizations 來啟用與 的共用。此可確保建立了 `AWSServiceRoleForResourceAccessManager` 服務連結角色。如果您使用 AWS Organizations 主控台或 [ enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) AWS CLI 命令 AWS Organizations 來啟用 的受信任存取,則不會建立`AWSServiceRoleForResourceAccessManager`服務連結角色,而且您無法在組織內共用資源。
------
#### [ Console ]
**在您的組織內啟用資源共用**
1. 在 AWS RAM 主控台中開啟**[設定](https://console.aws.amazon.com/ram/home#Settings:)**頁面。
1. 選擇**啟用與 共用 AWS Organizations**,然後選擇**儲存設定**。
------
#### [ AWS CLI ]
**在您的組織內啟用資源共用**
使用 [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) 命令。
此命令可用於任何 AWS 區域,並可在 AWS RAM 支援 AWS Organizations 的所有區域中與 共用。
```
$ aws ram enable-sharing-with-aws-organization
{
"returnValue": true
}
```
------
## 建立資源共用
若要共用您擁有的資源,請建立資源共用。下列為此程序的概觀:
1. 新增您要共用的資源。
1. 針對您在共用中包含的每個資源類型,指定用於該資源類型的[受管許可](getting-started-terms-and-concepts.md#term-managed-permission)。
+ 您可以選擇其中一個可用的 AWS 受管許可、現有的客戶受管許可,或建立新的客戶受管許可。
+ AWS 會建立受管許可 AWS ,以涵蓋標準使用案例。
+ 客戶受管許可可讓您量身打造自己的受管許可,以符合您的安全和業務需求。
**注意**
如果選取的受管許可有多個版本,則 AWS RAM 會自動連接預設版本。您只能連接指定為預設值的******版本。
1. 指定您想要存取資源的委託人。
**考量事項**
+ 如果您稍後需要刪除包含在共用中的 AWS 資源,建議您先從包含該資源共用中移除資源,或刪除資源共用。
+ 您可以在資源共享中包含的資源類型列於 [可共用 AWS 的資源](shareable.md)。
+ 只有在您[擁有](getting-started-terms-and-concepts.md#term-sharing-account)資源時,才能共用資源。您無法共用與您共用的資源。
+ AWS RAM 是區域服務。當您與其他 中的主體共用資源時 AWS 帳戶,這些主體必須從建立資源 AWS 區域 的相同位置存取每個資源。對於支援的全域資源,您可以從該資源的服務主控台和工具 AWS 區域 支援的任何 存取這些資源。您只能在 AWS RAM 指定的主區域美國東部 (維吉尼亞北部) 的 主控台和工具中檢視此類資源共用及其全域資源。 `us-east-1`如需 AWS RAM 和 全域資源的詳細資訊,請參閱 [與全域資源相比,共用區域資源](working-with-regional-vs-global.md)。
+ 如果您共用的 帳戶是 中組織的一部分, AWS Organizations 且已啟用組織內的共用,則您共用的組織中的任何主體都會自動獲得資源共用的存取權,而無需使用邀請。您在組織內容之外與其共用的帳戶中的委託人會收到加入資源共用的邀請,並且只有在他們接受邀請後才會獲得共用資源的存取權。
+ 如果您與服務委託人共用,則無法將任何其他委託人與資源共用建立關聯。
+ 如果共用是在屬於組織一部分的帳戶或主體之間,則組織成員資格的任何變更都會動態影響對資源共用的存取。
+ 如果您將 AWS 帳戶 新增至組織或可存取資源共享的 OU,則該新成員帳戶會自動存取資源共享。您共用的帳戶管理員接著可以將該共用中資源的存取權授予該帳戶中的個別委託人。
+ 如果您從組織或可存取資源共享的 OU 中移除帳戶,則該帳戶中的任何主體會自動失去透過該資源共享存取的資源存取權。
+ 如果您直接與成員帳戶或成員帳戶中的 IAM 角色或使用者共用,然後從組織中移除該帳戶,則該帳戶中的任何主體都會無法存取透過該資源共用存取的資源。
**重要**
當您與組織或 OU 共用,且該範圍包含擁有資源共用的帳戶時,共用帳戶中的所有主體都會自動存取共用中的資源。授予的存取權是由與共用相關聯的受管許可所定義。這是因為 AWS RAM 連接至共用中每個資源的資源型政策使用 `"Principal": "*"`。如需詳細資訊,請參閱[在以資源為基礎的政策"Principal": "\$1"中使用 的影響](getting-started-terms-and-concepts.md#term-principal-star)。
其他取用帳戶中的委託人不會立即存取共享的資源。其他帳戶的管理員必須先將身分型許可政策連接至適當的主體。這些政策必須授予資源共享中個別資源 ARNs`Allow`存取權。這些政策中的許可不能超過與資源共用相關聯的受管許可中指定的許可。
+ 您只能將帳戶所屬的組織和該組織的 OUs 新增至資源共享。您無法將來自自己組織外部OUs 或組織以主體身分新增至資源共享。不過,您可以為 AWS 帳戶 支援的 服務,將來自組織外部的 IAM 角色和使用者新增為資源共用的主體。
**注意**
並非所有資源類型都可與 IAM 角色和使用者共用。如需可與這些委託人共用之資源的相關資訊,請參閱 [可共用 AWS 的資源](shareable.md)。
+ 對於下列資源類型,您有七天的時間接受加入下列資源類型共享的邀請。如果您在邀請過期之前不接受邀請,則會自動拒絕邀請。
**重要**
對於**不在**下列清單中的共用資源類型,您有 **12 小時**可以接受加入資源共用的邀請。12 小時後,邀請會過期,且資源共享中的最終使用者主體會取消關聯。最終使用者無法再接受邀請。
+ Amazon Aurora – 資料庫叢集
+ Amazon EC2 – 容量保留和專用主機
+ AWS License Manager – 授權組態
+ AWS Outposts – 本機閘道路由表、前哨站和網站
+ Amazon Route 53 – 轉送規則
+ Amazon VPC – 客戶擁有的 IPv4 地址、字首清單、子網路、流量鏡射目標、傳輸閘道、傳輸閘道多點傳送網域
------
#### [ Console ]
**建立資源共享**
1. 開啟 [AWS RAM 主控台](https://console.aws.amazon.com/ram/home)。
1. 由於 AWS RAM 資源共用存在於特定 中 AWS 區域, AWS 區域 請從主控台右上角的下拉式清單中選擇適當的 。若要查看包含全域資源的資源共用,您必須將 AWS 區域 設定為美國東部 (維吉尼亞北部)、 (`us-east-1`)。如需共用全域資源的詳細資訊,請參閱 [與全域資源相比,共用區域資源](working-with-regional-vs-global.md)。如果您想要在資源共享中包含全域資源,則必須選擇指定的主區域,美國東部 (維吉尼亞北部),`us-east-1`。
1. 如果您是新手 AWS RAM,請從首頁選擇**建立資源共享**。否則,請從我共用:**資源共用頁面中選擇建立**資源共用。 **[https://console.aws.amazon.com/ram/home#OwnedResourceShares:](https://console.aws.amazon.com/ram/home#OwnedResourceShares:)**
1. 在**步驟 1:指定資源共用詳細資訊**中,執行下列動作:
1. 在**名稱**欄位中,輸入資源共用的描述性名稱。
1. 在**資源**下,選擇要新增至資源共享的資源,如下所示:
+ 針對**選取資源類型**,選擇要共用的資源類型。這會將可共用資源清單篩選為僅所選類型的資源。
+ 在產生的資源清單中,選取您要共用的個別資源旁的核取方塊。選取的資源會在**選取的資源**下移動。
如果您要共用與特定可用區域相關聯的資源,則使用可用區域 ID (AZ ID) 可協助您判斷這些資源在帳戶之間的相對位置。如需詳細資訊,請參閱[AWS 資源的可用區域 IDs](working-with-az-ids.md)。
1. (選用) 若要將[標籤連接至](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)資源共享,請在**標籤**下輸入標籤索引鍵和值。選擇新增**標籤來新增**其他標籤。視需要重複此步驟。這些標籤僅適用於資源共用本身,不適用於資源共用中的資源。
1. 選擇**下一步**。
1. 在**步驟 2:將受管許可與每個資源類型建立關聯**,您可以選擇將 建立的受管許可 AWS 與資源類型建立關聯、選擇現有的客戶受管許可,或者您可以為支援的資源類型建立自己的客戶受管許可。如需詳細資訊,請參閱[受管許可的類型](security-ram-permissions.md#permissions-types)。
選擇**建立客戶受管許可**,以建構符合共用使用案例需求的客戶受管許可。如需更多資訊,請參閱[建立客戶受管許可](create-customer-managed-permissions.md#create_cmp)。完成程序後,請選擇 ,![\[Refresh icon\]](http://docs.aws.amazon.com/zh_tw/ram/latest/userguide/images/refresh_icon.PNG)然後從受管許可下拉式清單中選擇您的新客戶**受管許可**。
**注意**
如果選取的受管許可有多個版本,則 AWS RAM 會自動連接預設版本。您只能連接指定為預設值的******版本。
若要顯示受管許可允許的動作,**請展開檢視此受管許可的政策範本**。
1. 選擇**下一步**。
1. 在**步驟 3:授予主體存取權**中,執行下列動作:
1. 根據預設,會選取**允許與任何人共用**,這表示對於支援它的資源類型,您可以與組織外部 AWS 帳戶 的資源共用資源。這不會影響*只能在*組織內共用的資源類型,例如 Amazon VPC 子網路。您也可以與 IAM 角色和使用者共用一些[支援的資源類型](shareable.md)。
若要將資源共用限制為您組織中的帳戶和主體,請選擇**僅允許在您的組織中共用**。
1. 對於**委託人**,請執行下列動作:
+ 若要新增組織、組織單位 (OU) 或屬於組織的 AWS 帳戶 ,請開啟**顯示組織結構**。這會顯示組織的樹狀檢視。然後,選取您要新增的每個主體旁邊的核取方塊。
**重要**
當您與組織或 OU 共用,且該範圍包含擁有資源共用的帳戶時,共用帳戶中的所有主體都會自動存取共用中的資源。授予的存取權是由與共用相關聯的受管許可所定義。這是因為 AWS RAM 連接至共用中每個資源的資源型政策使用 `"Principal": "*"`。如需詳細資訊,請參閱[在以資源為基礎的政策"Principal": "\$1"中使用 的影響](getting-started-terms-and-concepts.md#term-principal-star)。
其他取用帳戶中的委託人不會立即存取共享的資源。其他帳戶的管理員必須先將身分型許可政策連接至適當的主體。這些政策必須授予資源共享中個別資源 ARNs`Allow`存取權。這些政策中的許可不能超過與資源共用相關聯的受管許可中指定的許可。
+ 如果您選取組織 (ID 以 開頭`o-`),則組織中所有 AWS 帳戶 中的主體都可以存取資源共用。
+ 如果您選取 OU (ID 以 開頭`ou-`),則該 OU 及其子 OUs AWS 帳戶 中的所有主體都可以存取資源共用。
+ 如果您選取個人 AWS 帳戶,則只有該帳戶中的主體可以存取資源共享。
**注意**
**顯示組織結構**切換只有在與 共用 AWS Organizations 已啟用,且您已登入組織的管理帳戶時,才會顯示。
您無法使用此方法指定組織 AWS 帳戶 外部的 ,或 IAM 角色或使用者。反之,您必須關閉**顯示組織結構**,並使用下拉式清單和文字方塊來輸入 ID 或 ARN。
+ 若要依 ID 或 ARN 指定委託人,包括組織外部的委託人,請為每個委託人選取委託人類型。接著,輸入 ID (適用於 AWS 帳戶、組織或 OU) 或 ARN (適用於 IAM 角色或使用者),然後選擇**新增**。可用的委託人類型和 ID 和 ARN 格式如下所示:
+ **AWS 帳戶** – 若要新增 AWS 帳戶,請輸入 12 位數的帳戶 ID。例如:
`123456789012`
+ **組織** – 若要新增 AWS 帳戶 組織中的所有 ,請輸入組織的 ID。例如:
`o-abcd1234`
+ **組織單位 (OU)** – 若要新增 OU,請輸入 OU 的 ID。例如:
`ou-abcd-1234efgh`
+ **IAM 角色** – 若要新增 IAM 角色,請輸入角色的 ARN。使用下列語法:
`arn:partition:iam::account:role/role-name`
例如:
`arn:aws:iam::123456789012:role/MyS3AccessRole`
**注意**
若要取得 IAM 角色的唯一 ARN,[請在 IAM 主控台中檢視角色清單](https://console.aws.amazon.com/iamv2/home?#/roles)、使用 [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) AWS CLI 命令或 [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) API 動作。
+ **IAM 使用者** – 若要新增 IAM 使用者,請輸入使用者的 ARN。使用下列語法:
`arn:partition:iam::account:user/user-name`
例如:
`arn:aws:iam::123456789012:user/bob`
**注意**
若要取得 IAM 使用者的唯一 ARN,[請在 IAM 主控台中檢視使用者清單](https://console.aws.amazon.com/iamv2/home?#/users)、使用 [https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) AWS CLI 命令或 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) API 動作。
+ **服務委託人** – 若要新增服務委託人,請從選取委託人類型下拉式清單中選擇**服務**委託人。 ****輸入 AWS 服務主體的名稱。使用下列語法:
+ `service-id.amazonaws.com`
例如:
`pca-connector-ad.amazonaws.com`
1. 對於**選取的委託人**,請確認您指定的委託人出現在清單中。
1. 選擇**下一步**。
1. 在**步驟 4:檢閱和建立**中,檢閱資源共享的組態詳細資訊。若要變更任何步驟的組態,請選擇對應至您要返回之步驟的連結,並進行必要的變更。
1. 檢閱完資源共享後,請選擇**建立資源共享**。
資源和委託人可能需要幾分鐘的時間才能完成關聯。在您嘗試使用資源共用之前,允許此程序完成。
1. 您可以隨時新增和移除資源和主體,或將自訂標籤套用至資源共用。對於支援超過預設受管許可的類型,您可以變更資源共用中包含的資源類型的受管許可。當您不想再共用資源時,可以刪除資源共用。如需詳細資訊,請參閱[共用您擁有 AWS 的資源](working-with-sharing.md)。
------
#### [ AWS CLI ]
**建立資源共享**
使用 [https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 命令。下列命令會建立與 AWS 帳戶 組織中所有 共用的資源共用。共用包含 AWS License Manager 授權組態,並授予該資源類型的預設受管許可。
**注意**
如果您想要在此資源共享中使用具有資源類型的客戶受管許可,您可以使用現有的客戶受管許可或建立新的客戶受管許可。記下客戶受管許可的 ARN,然後建立資源共享。如需詳細資訊,請參閱[建立客戶受管許可](create-customer-managed-permissions.md#create_cmp)。
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyLicenseConfigShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
--resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
--principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
"name": "MyLicenseConfigShare",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
}
}
```
------
# 使用共用 AWS 資源
若要開始使用與您的帳戶共用的資源 AWS Resource Access Manager,請完成下列任務。
**Topics**
+ [回應資源共享邀請](#getting-started-shared-respond-invitation)
+ [使用與您共用的資源](#getting-started-shared-use-resources)
## 回應資源共享邀請
如果您收到加入資源共享的邀請,您必須接受該邀請才能存取共用資源。
下列案例不會使用邀請:
+ 如果您是 中的組織的一部分, AWS Organizations 並在組織中啟用共用,則組織中的主體會自動存取共用資源,而無需邀請。
+ 如果您與擁有資源 AWS 帳戶 的 共用,則該帳戶中的主體會自動存取共用資源,而無需邀請。
------
#### [ Console ]
**回應邀請**
1. 在 主控台中 AWS RAM 開啟**[與我共用:資源共用](https://console.aws.amazon.com/ram/home#SharedResourceShares:)**頁面。
**注意**
只有建立資源共享 AWS 區域 的 中才會顯示該資源共享。如果預期資源共享未出現在主控台中,您可能需要 AWS 區域 使用右上角的下拉式控制項切換到不同的資源共享。
1. 檢閱已授予您存取權的資源共用清單。
**狀態**欄指出您目前的資源共享參與狀態。`Pending` 狀態表示您已新增至資源共享,但您尚未接受或拒絕邀請。
1. 若要回應資源共用邀請,請選取資源共用 ID,然後選擇**接受資源共用**以接受邀請,或拒絕**資源共用**以拒絕邀請。如果您拒絕邀請,您將無法存取資源。如果您接受邀請,即可存取 資源。
------
#### [ AWS CLI ]
若要開始,請取得可供您使用的資源共享邀請清單。下列範例命令已在 `us-west-2`區域中執行,並顯示一個資源共享在 `PENDING` 狀態可用。
```
$ aws ram get-resource-share-invitations
{
"resourceShareInvitations": [
{
"resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
"resourceShareName": "MyNewResourceShare",
"resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
"senderAccountId": "111122223333",
"receiverAccountId": "444455556666",
"invitationTimestamp": "2021-09-15T15:00:32.568000-07:00",
"status": "PENDING"
}
]
}
```
您可以使用上一個命令邀請的 Amazon Resource Name (ARN) 做為下一個命令中的參數,以接受該邀請。
```
$ aws ram accept-resource-share-invitation \
--resource-share-invitation-arn arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111
{
"resourceShareInvitation": {
"resourceShareInvitationArn": "arn:aws:ram:us-west-2:111122223333:resource-share-invitation/1234abcd-ef12-9876-5432-aaaaaa111111",
"resourceShareName": "MyNewResourceShare",
"resourceShareArn": "arn:aws:ram:us-west-2:111122223333:resource-share/1234abcd-ef12-9876-5432-bbbbbb222222",
"senderAccountId": "111122223333",
"receiverAccountId": "444455556666",
"invitationTimestamp": "2021-09-15T15:14:12.580000-07:00",
"status": "ACCEPTED"
}
}
```
輸出顯示 `status` 已變更為 `ACCEPTED`。包含在該資源共享中的資源現在可供接受帳戶中的主體使用。
------
## 使用與您共用的資源
接受加入資源共享的邀請後,您可以對共用資源執行特定動作。這些動作會隨資源類型而異。如需詳細資訊,請參閱[可共用 AWS 的資源](shareable.md)。資源可直接在每個資源的服務主控台和 API/CLI 操作中使用。如果資源是區域資源,則您必須在服務主控台或 API/CLI 命令 AWS 區域 中使用正確的 。如果資源是全域的,則您必須使用指定的主區域,美國東部 (維吉尼亞北部),`us-east-1`若要在 中檢視資源 AWS RAM,您必須開啟建立資源共用 AWS 區域 的 AWS RAM 主控台。