本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 分享您的 VPC Lattice 實體
Amazon VPC Lattice 與 AWS Resource Access Manager (AWS RAM) 整合,以啟用共享服務、資源組態和服務網路。 AWS RAM 是一種服務,可讓您與其他 AWS 帳戶 或透過 共享一些 VPC Lattice 實體 AWS Organizations。與 AWS RAM共用您透過建立*資源共用*擁有的實體。資源共用會指定要共用的實體,以及要與其共用的消費者。消費者可包括:
+ 組織 AWS 帳戶 內部或外部的特定 AWS Organizations。
+ AWS Organizations中組織內的組織單位。
+ 中的整個組織 AWS Organizations。
如需 的詳細資訊 AWS RAM,請參閱[AWS RAM 《 使用者指南》](https://docs.aws.amazon.com/ram/latest/userguide/)。
**Topics**
+ [先決條件](#sharing-prereqs)
+ [共用實體](#share-resources)
+ [停止共用實體](#stop-sharing)
+ [責任和許可](#sharing-perms)
+ [跨帳戶事件](#cross-account-events)
## 共用 VPC Lattice 實體的先決條件
+ 若要共用實體,您必須在 中擁有該實體 AWS 帳戶。這表示必須在您的帳戶中配置或佈建實體。您無法共用已與您共用的實體。
+ 若要與組織或 中的組織單位共用實體 AWS Organizations,您必須啟用與 共用 AWS Organizations。如需詳細資訊,請參閱*《AWS RAM 使用者指南》*中的[透過 AWS Organizations啟用共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)。
## 共用 VPC Lattice 實體
若要共用實體,請先使用 建立資源共用 AWS Resource Access Manager。資源共用會指定要共用的實體、與其共用的消費者,以及主體可以執行的動作。
當您與其他人共用您擁有的 VPC Lattice 實體時 AWS 帳戶,您可以讓這些帳戶將其實體與您帳戶中的實體建立關聯。當您針對共用實體建立關聯時,我們會在實體擁有者帳戶和建立關聯的帳戶中產生 Amazon Resource Name (ARN)。因此,實體擁有者和建立關聯的帳戶都可以刪除關聯。
如果您是 中組織的一部分, AWS Organizations 且已啟用組織內的共用,則組織中的消費者會自動獲得共用實體的存取權。否則,消費者會收到加入資源共享的邀請,並在接受邀請後授予共用實體的存取權。
**考量事項**
+ 您可以共用三種類型的 VPC Lattice 實體:服務網路、服務和資源組態。
+ 您可以與任何 共用 VPC Lattice 實體 AWS 帳戶。
+ 您無法與個別 IAM 使用者和角色共用 VPC Lattice 實體。
+ VPC Lattice 支援服務、資源組態和服務網路的客戶受管許可。
**使用 VPC Lattice 主控台共用您擁有的實體**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格的 **VPC Lattice** 下,選擇**服務**、**服務網路**或**資源組態**。
1. 選擇實體的名稱以開啟其詳細資訊頁面,然後從**共用**索引標籤中選擇**共用服務**、**共用服務網路**或**共用資源組態**。
1. 從 AWS RAM 資源共用中選擇**資源共用**。若要建立資源共享,請選擇**在 RAM 主控台中建立資源共享**。
1. 選擇**共用服務**、**共用服務網路**或**共用資源組態**。
**使用 AWS RAM 主控台共用您擁有的實體**
使用 *AWS RAM 使用者指南*中[建立資源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)所述的程序。
**使用 共享您擁有的實體 AWS CLI**
使用 [associate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html) 命令。
## 停止共用 VPC Lattice 實體
若要停止共用您擁有的 VPC Lattice 實體,您必須將其從資源共用中移除。在您停止共用實體之後,現有的關聯會持續存在。不允許與先前共用實體的新關聯。當實體擁有者或關聯擁有者刪除關聯時,會從兩個帳戶中刪除該關聯。如果帳戶擁有者想要離開資源共用,則必須要求資源共用的擁有者從此資源共用的帳戶清單中移除其帳戶。
**使用 VPC Lattice 主控台停止共用您擁有的實體**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格的 **VPC Lattice** 下,選擇**服務**、**服務網路**或資源組態。
1. 選擇實體的名稱以開啟其詳細資訊頁面。
1. 在**共用**索引標籤上,選取資源共用的核取方塊,然後選擇**移除**。
**使用 AWS RAM 主控台停止共用您擁有的實體**
請參閱《*AWS RAM 使用者指南*》中的[更新資源共用](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)。
**使用 停止共用您擁有的實體 AWS CLI**
使用 [disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) 命令。
## 責任和許可
使用共用 VPC Lattice 實體時,適用下列責任和許可。
### 實體擁有者
+ 服務網路擁有者無法修改消費者建立的服務。
+ 服務網路擁有者無法刪除消費者建立的服務。
+ 服務網路擁有者可以描述服務網路的所有服務關聯。
+ 無論誰建立關聯,服務網路擁有者都可以取消與服務網路關聯的任何服務。
+ 服務網路擁有者可以描述服務網路的所有 VPC 關聯。
+ 服務網路擁有者可以取消消費者與服務網路關聯的任何 VPC 的關聯。
+ 服務網路擁有者可以描述服務網路的所有資源組態關聯。
+ 無論誰建立關聯,服務網路擁有者都可以取消與服務網路關聯的任何資源組態的關聯。
+ 服務網路擁有者可以描述服務網路的所有端點關聯。
+ 服務網路擁有者可以取消與服務網路關聯的任何端點的關聯,無論關聯是由誰建立。
+ 服務擁有者可以描述與服務的所有服務網路關聯。
+ 服務擁有者可以將服務與其關聯的任何服務網路取消關聯。
+ 資源組態擁有者可以描述與資源組態的所有網路關聯。
+ 資源組態擁有者可以取消資源組態與其關聯的任何服務網路的關聯。
+ VPC 端點擁有者可以描述與其相關聯的服務網路。
+ VPC 端點擁有者可以取消端點與服務網路的關聯。
+ 只有建立關聯的帳戶才能更新服務網路和 VPC 之間的關聯。
### 實體消費者
+ 消費者無法刪除他們未建立的服務或資源組態。
+ 消費者只能取消與服務網路相關聯的服務或資源組態的關聯。
+ 消費者和網路擁有者可以描述服務網路與服務或資源組態之間的所有關聯。
+ 消費者無法擷取其未擁有之資源組態的服務或資源組態資訊。
+ 消費者可以描述所有服務關聯和資源組態與共用服務網路的關聯。
+ 消費者可以將服務或資源組態與共用服務網路建立關聯。
+ 消費者可以看到與共用服務網路的所有 VPC 關聯。
+ 消費者可以將 VPC 與共用服務網路建立關聯。
+ 消費者只能取消與服務網路相關聯之 VPCs的關聯。
+ 消費者可以建立服務網路 VPC 端點,將其 VPC 連線至共用服務網路。
+ 消費者只能刪除他們為了將 VPC 連線到共用服務網路而建立的服務網路 VPC 端點。
+ 共用服務的取用者無法將服務與其未擁有的服務網路建立關聯。
+ 共用服務網路的取用者無法關聯他們不擁有的 VPC 或服務。
+ 共用資源組態的取用者無法將資源組態與其未擁有的服務網路建立關聯。
+ 共用服務網路的取用者無法關聯他們不擁有的 VPC 或服務或資源組態。
+ 消費者可以描述與其共用的服務、服務網路或資源組態。
+ 如果兩個實體共用,消費者就無法關聯這兩個實體。
## 跨帳戶事件
當實體擁有者和取用者對共用實體執行動作時,這些動作會記錄為 中的跨帳戶事件 AWS CloudTrail。
`CreateServiceNetworkResourceAssociationBySharee`
當實體消費者使用共用實體呼叫 CreateServiceNetworkResourceAssociation 時,傳送給實體擁有者。如果發起人擁有資源組態,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送至資源組態的擁有者。
`CreateServiceNetworkServiceAssociationBySharee`
當實體消費者呼叫 [CreateServiceNetworkServiceAssociation](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_CreateServiceNetworkServiceAssociation.html) 與共用實體時,傳送給實體擁有者。如果發起人擁有該服務,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送給服務的擁有者。
`CreateServiceNetworkVpcAssociationBySharee`
當實體消費者使用共用服務網路呼叫 [CreateServiceNetworkVpcAssociation](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_CreateServiceNetworkVpcAssociation.html) 時,傳送給實體擁有者。
`DeleteServiceNetworkResourceAssociationByOwner`
當實體擁有者使用共用實體呼叫 DeleteServiceNetworkResourceAssociation 時,會傳送給關聯擁有者。如果發起人擁有資源組態,則事件會傳送至服務網路關聯的擁有者。如果發起人擁有服務網路,則事件會傳送至資源關聯的擁有者。
`DeleteServiceNetworkResourceAssociationBySharee`
當實體消費者使用共用實體呼叫 DeleteServiceNetworkResourceAssociation 時,傳送給實體擁有者。如果發起人擁有資源組態,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送至資源組態的擁有者。
`DeleteServiceNetworkServiceAssociationByOwner`
當實體擁有者呼叫 [DeleteServiceNetworkServiceAssociation](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_DeleteServiceNetworkServiceAssociation.html) 與共用實體時,會傳送給關聯擁有者。如果發起人擁有該服務,則事件會傳送給服務網路關聯的擁有者。如果發起人擁有服務網路,則事件會傳送給服務關聯的擁有者。
`DeleteServiceNetworkServiceAssociationBySharee`
當實體消費者呼叫 [DeleteServiceNetworkServiceAssociation](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_DeleteServiceNetworkServiceAssociation.html) 與共用實體時,傳送給實體擁有者。如果發起人擁有該服務,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送給服務的擁有者。
`DeleteServiceNetworkVpcAssociationByOwner`
當實體擁有者使用共用服務網路呼叫 [DeleteServiceNetworkVpcAssociation](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_DeleteServiceNetworkVpcAssociation.html) 時,會傳送給關聯擁有者。
`DeleteServiceNetworkVpcAssociationBySharee`
當實體消費者使用共用服務網路呼叫 [DeleteServiceNetworkVpcAssociation](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_DeleteServiceNetworkVpcAssociation.html) 時,傳送給實體擁有者。
`GetServiceBySharee`
當實體消費者使用共用服務呼叫 [GetService](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_GetService.html) 時,傳送給實體擁有者。
`GetServiceNetworkBySharee`
當實體消費者使用共用服務網路呼叫 [GetServiceNetwork](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_GetServiceNetwork.html) 時,傳送給實體擁有者。
`GetServiceNetworkResourceAssociationBySharee`
當實體消費者使用共用實體呼叫 GetServiceNetworkResourceAssociation 時,傳送給實體擁有者。如果發起人擁有資源組態,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送至資源組態的擁有者。
`GetServiceNetworkServiceAssociationBySharee`
當實體消費者呼叫 [GetServiceNetworkServiceAssociation](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_GetServiceNetworkServiceAssociation.html) 與共用實體時,傳送給實體擁有者。如果發起人擁有該服務,則事件會傳送至服務網路的擁有者。如果發起人擁有服務網路,則事件會傳送給服務的擁有者。
`GetServiceNetworkVpcAssociationBySharee`
當實體消費者使用共用服務網路呼叫 [GetServiceNetworkVpcAssociation](https://docs.aws.amazon.com/vpc-lattice/latest/APIReference/API_GetServiceNetworkVpcAssociation.html) 時,傳送給實體擁有者。
以下是`CreateServiceNetworkServiceAssociationBySharee`事件的範例項目。
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "Unknown"
},
"eventTime": "2023-04-27T17:12:46Z",
"eventSource": "vpc-lattice.amazonaws.com",
"eventName": "CreateServiceNetworkServiceAssociationBySharee",
"awsRegion": "us-west-2",
"sourceIPAddress": "vpc-lattice.amazonaws.com",
"userAgent": "ec2.amazonaws.com",
"requestParameters": null,
"responseElements": null,
"additionalEventData": {
"callerAccountId": "111122223333"
},
"requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
"eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
"readOnly": false,
"resources": [
{
"accountId": "123456789012",
"type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
"ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
}
],
"eventType": "AwsServiceEvent",
"managementEvent": true,
"recipientAccountId": "123456789012",
"eventCategory": "Management"
}
```