本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 与另一个群组共享已验证访问群组 AWS 账户
<a name="sharing-groups"></a>

当您与其他AWS账户共享您拥有的已验证访问群组时，您可以允许这些账户在群组中创建已验证访问终端节点。在其中创建 Verified Access 组的账户称为*所有者*账户。使用共享组的账户称为*使用者*账户。

下图说明了共享 Verified Access 组的好处。中央安全团队拥有账户 A。他们管理中的用户和群组AWS IAM Identity Center，并管理提供内部应用程序访问权限所需的已验证访问资源，例如已验证访问信任提供者、已验证访问实例、已验证访问权限组和已验证访问策略。应用程序团队拥有账户 B。他们管理运行其内部应用程序所需的资源，例如负载均衡器、Auto Scaling 组、Amazon Route 53 中的 DNS 配置和来自 AWS Certificate Manager (ACM) 的 TLS 证书。在中央安全团队与账户 B 共享 Verified Access 组后，应用程序团队可以使用共享组创建 Verified Access 端点。根据中央安全团队为 Verified Access 组创建的策略，允许或拒绝对应用程序的访问。

![\[在企业中的账户之间共享 Verified Access 组。\]](http://docs.aws.amazon.com/zh_cn/verified-access/latest/ug/images/shared-groups.png)


## 注意事项
<a name="sharing-groups-requirements"></a>

以下注意事项适用于共享 Verified Access 组。

**所有者**
+ 要共享 Verified Access 组，用户必须具有以下权限：`ec2:PutResourcePolicy` 和 `ec2:DeleteResourcePolicy`。
+ 要共享 Verified Access 组，您必须是其所有者。您无法共享他人共享给您的 Verified Access 组。
+ 如果您启用与贵企业中的账户共享，则无需使用邀请即可共享资源，例如 Verified Access 组。否则，使用者会收到邀请，且必须接受邀请才能访问共享组。要启用共享，请在组织的管理帐户中打开AWS RAM控制台中的 **[“设置”](https://console.aws.amazon.com/ram/home#Settings:)** 页面，然后选择 “**启用与之共享**” AWS Organizations。
+ 如果存在关联的 Verified Access 端点，则无法删除组。您可以在您的账户的 **Verified Access 端点**页面上查看使用者账户创建的端点。端点所有者的账户 ID 反映在端点证书的 Amazon 资源名称（ARN）中。

**消费者**
+ 要查看与您共享的已验证访问权限组，请在控制台中打开**已验证访问权限组**页面，或致电[describe-verified-access-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-verified-access-groups.html)。所有者的账户 ID 将反映在组的**所有者**字段和 Amazon 资源名称（ARN）中。
+ 创建 Verified Access 端点时，可以指定他人共享给您的任何 Verified Access 组。
+ 您无法查看与共享组关联但不归您所有的端点。
+ 如果 Verified Access 组的所有者删除了资源共享，则您无法在组中创建新的 Verified Access 端点。您在删除资源共享之前创建的任何 Verified Access 端点都不会受到资源共享删除的影响。但是，共享组的所有者可以删除您的端点。

## 资源共享
<a name="resource-shares"></a>

要共享 Verified Access 组，您必须将其添加到资源共享。资源共享指定要共享的资源以及可以使用共享资源的使用者。

**使用控制台共享已验证访问权限组**

1. 在家中打开[https://console.aws.amazon.com/ram/主AWS RAM](https://console.aws.amazon.com/ram/home)机。

1. 如果贵企业没有资源共享，您可以创建一个。对于委托人，您可以选择整个组织、组织单位或特定AWS帐户。

1. 选择资源共享，然后选择**修改**。

1. 对于 `Resources`，选择 **Verified Access 组**作为资源类型，然后选择要共享的资源组。

1. 选择**跳至：查看并更新**。

1. 选择**更新资源共享**。

有关更多信息，请参阅《*AWS RAM 用户指南*》中的 [Create a resource share](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)。