尝试与组织之外的账户共享时出错 - AWS Resource Access Manager
场景可能的原因和解决方案

尝试与组织之外的账户共享时出错

场景

尝试与组织之外的账户共享资源时,您会收到以下错误之一:

  • You cannot share the resource outside your organization.

  • The resource you are attempting to share can only be shared within your AWS Organization.

  • InvalidParameterException: Principal Account-ID is not in your AWS organization. You do not have permission to add external AWS 账户 to a resource share.

  • OperationNotPermittedException: The resource you are attempting to share can only be shared within your AWS Organization.

可能的原因和解决方案

某些资源类型只能与同一组织中的账户共享

某些资源类型不能与任何不是该组织成员的账户共享。具有此限制的资源类型的一个示例是属于 Amazon Elastic Compute Cloud(Amazon EC2)的虚拟私有连接(VPC)。

要验证您是否可以与组织外部的账户和主体共享特定资源类型,请参阅可共享的 AWS 资源

服务相关角色创建不成功

如果在您启用 AWS RAM 与 AWS Organizations 之间的集成时服务相关角色 AWSServiceRoleForResourceAccessManager 未成功创建,则可能会出现此问题。

如果您在尝试与属于 您组织的账户共享资源时收到其中一个错误,请按以下步骤操作,删除并重新创建服务相关角色。

重要

当您禁用对 AWS Organizations 的可信访问后,将从所有资源共享中删除您组织内的主体,他们将无法访问这些共享的资源。

  1. 使用具有管理权限的 IAM 角色或用户登录您组织的管理账户。

  2. 导航到 AWS Organizations 控制台的“服务”页面

  3. 选择 RAM

  4. 选择 Disable trusted access(禁用信任访问权限)

  5. 导航到 AWS RAM 控制台的“设置”页面

  6. 选中允许与 AWS Organizations 共享框,然后选择保存设置