Gemeinsam genutzte AWS Cloud Map Namespaces - AWS Cloud Map
Überlegungen zur gemeinsamen Nutzung von NamespacesErteilen von Berechtigungen zur gemeinsamen Nutzung eines NamespacesZuständigkeiten und Berechtigungen für gemeinsam genutzte NamespacesFakturierung und MessungKontingente

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Gemeinsam genutzte AWS Cloud Map Namespaces

AWS Cloud Map ermöglicht es Namespace-Besitzern, ihre Namespaces mit anderen AWS-Konten oder innerhalb einer Organisation zu teilen, um die kontenübergreifende Diensterkennung und die Dienstregistrierung zu AWS Organizations vereinfachen. Dies ermöglicht eine einfachere Verwendung von Namespaces, die von anderen Personen oder Teams innerhalb einer Organisation verwaltet werden. AWS-Konten AWS

AWS Cloud Map integriert sich in AWS Resource Access Manager (AWS RAM), um die gemeinsame Nutzung von Ressourcen zu ermöglichen. AWS RAM ist ein Dienst, der es Ihnen ermöglicht, einige AWS Cloud Map Ressourcen mit anderen AWS-Konten oder über diese gemeinsam zu nutzen AWS Organizations. Mit können Sie Ressourcen AWS RAM, die Sie besitzen, gemeinsam nutzen, indem Sie eine gemeinsame Nutzung erstellen. Eine Ressourcenfreigabe legt die freizugebenden Ressourcen und die Konsumenten fest, für die sie freigegeben werden sollen. Zu den Verbrauchern können folgende Angaben zählen:

  • AWS-Konten Spezifisch innerhalb der Organisation in AWS Organizations

  • Eine Organisationseinheit innerhalb ihrer Organisation in AWS Organizations

  • Ihre gesamte Organisation ist in AWS Organizations

Weitere Informationen zu AWS RAM finden Sie im AWS RAM Benutzerhandbuch.

In diesem Thema wird erklärt, wie Sie Ressourcen, die Ihnen gehören, gemeinsam nutzen und wie Sie Ressourcen verwenden, die mit Ihnen gemeinsam genutzt werden.

Inhalt

Überlegungen zur gemeinsamen Nutzung von Namespaces

  • Um einen Namespace gemeinsam zu nutzen, müssen Sie ihn in Ihrem besitzen. AWS-Konto Das bedeutet, dass die Ressource Ihrem Konto zugewiesen oder bereitgestellt werden muss. Sie können einen Namespace, der mit Ihnen geteilt wurde, nicht gemeinsam nutzen.

  • Um einen Namespace mit Ihrer Organisation oder einer Organisationseinheit gemeinsam zu nutzen AWS Organizations, müssen Sie das Teilen mit aktivieren. AWS Organizations Weitere Informationen finden Sie unter Freigabe für AWS Organizations aktivieren im AWS RAM -Benutzerhandbuch.

  • Für die Diensterkennung mithilfe von DNS-Abfragen in einem gemeinsam genutzten privaten DNS-Namespace muss der Namespace-Besitzer create-vpc-association-authorization mit der ID der privaten gehosteten Zone anrufen, die dem Namespace und der VPC des Verbrauchers zugeordnet ist.

    aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    Der Namespace-Nutzer muss associate-vpc-with-hosted-zone mit der ID der privaten gehosteten Zone anrufen.

    aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    Weitere Informationen finden Sie unter Zuordnen einer Amazon VPC und einer privaten gehosteten Zone, die Sie mit anderen erstellt haben, AWS-Konten im Amazon Route 53-Entwicklerhandbuch.

  • Nach dem Ermitteln der up-to-date Netzwerkstandorte von Diensten, die einem gemeinsam genutzten DNS-Namespace zugeordnet sind, kann es erforderlich sein, die VPC-Inter-Konnektivität für die Kommunikation mit den Diensten zu konfigurieren, falls sie sich in unterschiedlichen Diensten befinden. VPCs Dies kann mithilfe einer VPC-Peering-Verbindung erreicht werden. Weitere Informationen finden Sie unter Erstellen oder Löschen einer VPC-Peering-Verbindung im Amazon Virtual Private Cloud VPC Peering-Handbuch.

  • Sie können es nicht verwendenListOperations, um Operationen in gemeinsam genutzten Namespaces aufzulisten, die von anderen Konten ausgeführt werden.

  • Tagging wird für gemeinsam genutzte Namespaces nicht unterstützt.

Erteilen von Berechtigungen zur gemeinsamen Nutzung eines Namespaces

Damit ein IAM-Prinzipal einen Namespace gemeinsam nutzen kann, ist ein Mindestsatz an Berechtigungen erforderlich. Wir empfehlen die Verwendung der AWSCloudMapFullAccess und der AWSResourceAccessManagerFullAccess verwalteten Richtlinien, um sicherzustellen, dass Ihre IAM-Prinzipale über die erforderlichen Berechtigungen zur gemeinsamen Nutzung und Verwendung gemeinsam genutzter Namespaces verfügen.

Wenn Sie eine benutzerdefinierte IAM-Richtlinie verwenden, sind die servicediscovery:DeleteResourcePolicy Aktionen, und für die gemeinsame Nutzung von servicediscovery:PutResourcePolicy servicediscovery:GetResourcePolicy Namespaces erforderlich. Dies sind IAM-Aktionen, die nur für Berechtigungen gelten. Wenn einem IAM-Prinzipal diese Berechtigungen nicht erteilt wurden, tritt ein Fehler auf, wenn versucht wird, den Namespace mit zu teilen. AWS RAM

Weitere Informationen zur AWS RAM Verwendung von IAM finden Sie unter Wie AWS RAM verwendet IAM im Benutzerhandbuch.AWS RAM

Zuständigkeiten und Berechtigungen für gemeinsam genutzte Namespaces

Der Namespace-Besitzer und der Nutzer können unterschiedliche Aktionen für einen gemeinsam genutzten Namespace ausführen.

Berechtigungen für Besitzer

Ein Namespace-Besitzer kann die folgenden Aktionen für einen gemeinsam genutzten Namespace ausführen:

  • Greifen Sie auf Dienste zu, die dem Namespace zugeordnet sind, einschließlich Dienste, die von Benutzerkonten erstellt wurden, und auf Instanzen, die für diese Dienste registriert sind.

  • Widerrufen Sie den Zugriff auf den Namespace, einschließlich des Zugriffs auf Dienste, die von Benutzerkonten erstellt wurden, und auf Instanzen, die für diese Dienste registriert sind.

  • Konfigurieren Sie Berechtigungen für andere Konten zum Registrieren und Abmelden von Instanzen in Diensten, die von Verbrauchern oder dem Namespace-Besitzer im gemeinsam genutzten Namespace erstellt wurden.

  • Löschen Sie Dienste und heben Sie die Registrierung von Instanzen auf, einschließlich der Dienste, die mit Benutzerkonten erstellt wurden, und der Instanzen, die über Benutzerkonten registriert wurden.

  • Aktualisieren oder löschen Sie einen gemeinsam genutzten Namespace.

Berechtigungen für Konsumenten

Ein Namespace-Nutzer kann die folgenden Aktionen für einen gemeinsam genutzten Namespace ausführen:

  • Dienste im Namespace erstellen und löschen.

  • Registrieren und deregistrieren Sie Instanzen in Diensten, die im Namespace erstellt wurden.

  • Entdecken Sie Instanzen, die für Dienste registriert sind, die im Namespace erstellt wurden.

Ein Verbraucher kann einen gemeinsam genutzten Namespace nicht aktualisieren oder löschen. Nach dem Verlust des Zugriffs auf den gemeinsam genutzten Namespace verlieren die Benutzerkonten auch den Zugriff auf Dienste, die sie im Namespace erstellt haben.

Fakturierung und Messung

Besitzern werden alle Instances, die sie im gemeinsamen Namespace registrieren, sowie alle Route 53-Zustandsprüfungen, die bei der Registrierung dieser Instanzen erstellt werden, in Rechnung gestellt. Verbrauchern werden alle Instances, die sie im Namespace registrieren, sowie alle Route 53-Zustandsprüfungen, die bei der Registrierung dieser Instances erstellt werden, in Rechnung gestellt. Wenn es sich bei dem gemeinsam genutzten Namespace um einen DNS-Namespace handelt, werden dem Namespace-Besitzer die Route 53-DNS-Einträge in Rechnung gestellt, die bei der Erstellung von Diensten im Namespace erstellt werden. Den Besitzern werden alle Anrufe, die sie tätigen, in Rechnung gestellt. DiscoverInstances DiscoverInstancesRevision Den Verbrauchern werden alle DiscoverInstances DiscoverInstancesRevision Anrufe, die sie tätigen, in Rechnung gestellt.

Kontingente

Gemeinsam genutzte Namespaces werden nur auf die Namespaces des Namespace-Besitzers pro Regionskontingent angerechnet. Instanzen, die von einem Verbraucher im gemeinsam genutzten Namespace registriert wurden, werden auf die Instanzen des Besitzers pro Namespace-Kontingent angerechnet. Wenn ein Verbraucher einen Dienst in einem gemeinsam genutzten Namespace erstellt, werden alle im Dienst registrierten Instanzen auf die Instanzen des Verbrauchers pro Dienstkontingent angerechnet. Wenn ein Besitzer einen Dienst in einem gemeinsam genutzten Namespace erstellt, werden alle im Dienst registrierten Instanzen auf die Instanzen des Besitzers pro Dienstkontingent angerechnet.