AWS Cloud Map Namespaces compartilhados - AWS Cloud Map
Considerações sobre o compartilhamento de namespacesConceder permissões para compartilhar um namespaceResponsabilidades e permissões para namespaces compartilhadosFaturamento e mediçãoCotas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Cloud Map Namespaces compartilhados

AWS Cloud Map permite que os proprietários de namespaces compartilhem seus namespaces com outras pessoas Contas da AWS ou dentro de uma organização AWS Organizations para simplificar a descoberta de serviços entre contas e o registro de serviços. Isso facilita o uso de namespaces gerenciados por outras pessoas Contas da AWS ou por equipes dentro de uma AWS organização.

AWS Cloud Map integra-se com AWS Resource Access Manager (AWS RAM) para permitir o compartilhamento de recursos. AWS RAM é um serviço que permite compartilhar alguns AWS Cloud Map recursos com outras pessoas Contas da AWS ou por meio de AWS Organizations. Com AWS RAM, você compartilha recursos de sua propriedade criando um compartilhamento de recursos. Um compartilhamento de atributos especifica os atributos a serem compartilhados, e os consumidores com os quais compartilhá-los. Os consumidores podem incluir:

  • Específico Contas da AWS dentro de sua organização em AWS Organizations

  • Uma unidade organizacional dentro de sua organização em AWS Organizations

  • Toda a sua organização em AWS Organizations

Para obter mais informações sobre AWS RAM, consulte o Guia AWS RAM do usuário.

Este tópico explica como compartilhar recursos que você possui e como usar os recursos que são compartilhados com você.

Conteúdo

Considerações sobre o compartilhamento de namespaces

  • Para compartilhar um namespace, você deve possuí-lo em seu. Conta da AWS Isso significa que o recurso deve ser alocado ou provisionado em sua conta. Você não pode compartilhar um namespace que tenha sido compartilhado com você.

  • Para compartilhar um namespace com sua organização ou unidade organizacional em AWS Organizations, você deve habilitar o compartilhamento com. AWS Organizations Para obter mais informações, consulte Habilitar o compartilhamento com o AWS Organizations no Guia do usuário do AWS RAM .

  • Para a descoberta de serviços usando consultas de DNS em um namespace DNS privado compartilhado, o proprietário do namespace precisará ligar create-vpc-association-authorization com o ID da zona hospedada privada associada ao namespace e à VPC do consumidor.

    aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    O consumidor do namespace precisará ligar associate-vpc-with-hosted-zone com o ID da zona hospedada privada.

    aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    Para obter mais informações, consulte Associando uma Amazon VPC e uma zona hospedada privada que você criou com Contas da AWS diferentes no Guia do desenvolvedor do Amazon Route 53.

  • Depois de descobrir os locais de up-to-date rede dos serviços associados a um namespace DNS compartilhado, talvez seja necessário configurar a conectividade entre VPCs para se comunicar com os serviços, caso estejam em locais diferentes. VPCs Isso pode ser feito usando uma conexão de emparelhamento VPC. Para obter mais informações, consulte Criar ou excluir uma conexão de emparelhamento de VPC no guia de emparelhamento de VPC da Amazon Virtual Private Cloud.

  • Você não pode usar ListOperations para listar operações em namespaces compartilhados que são executadas por outras contas.

  • A marcação não é compatível com namespaces compartilhados.

Conceder permissões para compartilhar um namespace

É necessário um conjunto mínimo de permissões para que um diretor do IAM compartilhe um namespace. Recomendamos usar as políticas AWSCloudMapFullAccess AWSResourceAccessManagerFullAccess gerenciadas para garantir que seus diretores do IAM tenham as permissões necessárias para compartilhar e usar namespaces compartilhados.

Se você usa uma política personalizada do IAM, as servicediscovery:DeleteResourcePolicy ações servicediscovery:PutResourcePolicyservicediscovery:GetResourcePolicy, e são necessárias para compartilhar namespaces. Essas são ações do IAM realizadas somente com permissão. Se um diretor do IAM não tiver essas permissões concedidas, ocorrerá um erro ao tentar compartilhar o namespace usando. AWS RAM

Para obter mais informações sobre como AWS RAM usa o IAM, consulte Como AWS RAM usa o IAM no Guia AWS RAM do usuário.

Responsabilidades e permissões para namespaces compartilhados

O proprietário e o consumidor do namespace podem realizar ações diferentes em um namespace compartilhado.

Permissões para proprietários

O proprietário de um namespace pode realizar as seguintes ações em um namespace compartilhado:

  • Acesse serviços associados ao namespace, incluindo serviços criados por contas de consumidores e instâncias registradas nesses serviços.

  • Revogue o acesso ao namespace, incluindo o acesso a serviços criados por contas de consumidores e instâncias registradas nesses serviços.

  • Configure permissões para que outras contas registrem e cancelem o registro de instâncias em serviços criados no namespace compartilhado pelos consumidores ou pelo proprietário do namespace.

  • Exclua serviços e cancele o registro de instâncias, incluindo serviços criados e instâncias registradas por contas de consumidores.

  • Atualize ou exclua um namespace compartilhado.

Permissões para clientes

Um consumidor de namespace pode realizar as seguintes ações em um namespace compartilhado:

  • Crie e exclua serviços no namespace.

  • Registre e cancele o registro de instâncias em serviços criados no namespace.

  • Descubra instâncias registradas em serviços criados no namespace.

Um consumidor não pode atualizar ou excluir um namespace compartilhado. Depois de perder o acesso ao namespace compartilhado, as contas do consumidor também perderão o acesso aos serviços que criaram no namespace.

Faturamento e medição

Os proprietários são cobrados por todas as instâncias registradas no namespace compartilhado e por todas as verificações de saúde do Route 53 criadas quando eles registram essas instâncias. Os consumidores são cobrados por todas as instâncias registradas no namespace e por todas as verificações de saúde do Route 53 criadas ao registrar essas instâncias. Se o namespace compartilhado for um namespace DNS, o proprietário do namespace será cobrado pelos registros DNS do Route 53 que são criados quando os serviços são criados no namespace. Os proprietários são cobrados por todas DiscoverInstances as DiscoverInstancesRevision chamadas que fizerem. Os consumidores são cobrados por todas DiscoverInstances as DiscoverInstancesRevision chamadas que fizerem.

Cotas

Os namespaces compartilhados contam somente para a cota de namespaces do proprietário do namespace por região. As instâncias registradas por um consumidor no namespace compartilhado contam para a cota de instâncias por namespace do proprietário. Se um consumidor criar um serviço em um namespace compartilhado, todas as instâncias registradas no serviço contam para as instâncias do consumidor por cota de serviço. Se um proprietário criar um serviço em um namespace compartilhado, todas as instâncias registradas no serviço contam para as instâncias do proprietário por cota de serviço.