共用 AWS Cloud Map 命名空間 - AWS Cloud Map
共用命名空間的考量事項授予共用命名空間的許可共用命名空間的責任和許可計費和計量配額

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用 AWS Cloud Map 命名空間

AWS Cloud Map 允許命名空間擁有者與 中的其他 AWS 帳戶 或組織共用其命名空間 AWS Organizations ,以簡化跨帳戶服務探索和服務登錄。這可讓您更輕鬆地使用組織內其他 AWS 帳戶 或 團隊管理的命名空間 AWS 。

AWS Cloud Map 與 AWS Resource Access Manager (AWS RAM) 整合以啟用資源共用。 AWS RAM 是一種服務,可讓您與其他 AWS 帳戶 或透過 共用一些 AWS Cloud Map 資源 AWS Organizations。透過 AWS RAM,您可以透過建立資源共用來共用您擁有的資源。資源共享指定要共用的資源,以及共用它們的消費者。消費者可包括:

  • 中的組織 AWS 帳戶 內部特定 AWS Organizations

  • 中組織內部的組織單位 AWS Organizations

  • 其在 中的整個組織 AWS Organizations

如需 的詳細資訊 AWS RAM,請參閱AWS RAM 《 使用者指南》

本主題說明如何共用您擁有的資源,以及如何使用與您共用的資源。

目錄

共用命名空間的考量事項

  • 若要共用命名空間,您必須在 中擁有該命名空間 AWS 帳戶。這表示必須在您的帳戶中配置或佈建資源。您無法共用已與您共用的命名空間。

  • 若要與組織或 中的組織單位共用命名空間 AWS Organizations,您必須啟用與 共用 AWS Organizations。如需詳細資訊,請參閱《AWS RAM 使用者指南》中的透過 AWS Organizations啟用共用

  • 對於在共用私有 DNS 命名空間中使用 DNS 查詢的服務探索,命名空間擁有者將需要create-vpc-association-authorization使用與命名空間和消費者 VPC 相關聯的私有託管區域的 ID 來呼叫 。

    aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    命名空間取用者將需要associate-vpc-with-hosted-zone使用私有託管區域的 ID 呼叫 。

    aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的關聯 Amazon VPC 和您使用不同 建立的私有託管區域 AWS 帳戶

  • 在探索與共用 DNS 命名空間相關聯的up-to-date網路位置之後,如果服務位於不同的 VPCs 中,則可能需要設定 VPC 間連線來與服務通訊。這可以使用 VPC 對等互連連線來實現。如需詳細資訊,請參閱《Amazon Virtual Private Cloud VPC 對等互連指南》中的建立或刪除 VPC 對等互連。 Amazon Virtual Private Cloud

  • 您無法使用 ListOperations 列出其他帳戶所執行之共用命名空間上的操作。

  • 共用命名空間不支援標記。

授予共用命名空間的許可

IAM 主體需要一組最低許可才能共用命名空間。我們建議您使用 AWSCloudMapFullAccessAWSResourceAccessManagerFullAccess受管政策,以確保您的 IAM 主體具有共用和使用共用命名空間所需的許可。

如果您使用自訂 IAM 政策,共用命名空間需要 servicediscovery:PutResourcePolicyservicediscovery:GetResourcePolicyservicediscovery:DeleteResourcePolicy動作。這些是僅限許可的 IAM 動作。如果 IAM 主體未授予這些許可,則嘗試使用 共用命名空間時發生錯誤 AWS RAM。

如需 如何使用 AWS RAM IAM 的詳細資訊,請參閱AWS RAM 《 使用者指南》中的如何使用 AWS RAM IAM

共用命名空間的責任和許可

命名空間擁有者和取用者可以在共用命名空間上執行不同的動作。

擁有者的許可

命名空間擁有者可以在共用命名空間上執行下列動作:

  • 存取與命名空間相關聯的服務,包括消費者帳戶和註冊這些服務的執行個體所建立的服務。

  • 撤銷對 命名空間的存取權,包括存取消費者帳戶和註冊這些服務的執行個體所建立的服務。

  • 設定其他帳戶的許可,以在消費者或命名空間擁有者在共用命名空間中建立的 服務中註冊和取消註冊執行個體。

  • 刪除服務和取消註冊執行個體,包括消費者帳戶建立的服務和註冊的執行個體。

  • 更新或刪除共用命名空間。

消費者的許可

命名空間取用者可以在共用命名空間上執行下列動作:

  • 在 命名空間中建立和刪除服務。

  • 在 命名空間中建立的 服務中註冊和取消註冊執行個體。

  • 探索已註冊至 命名空間中建立之服務的執行個體。

取用者無法更新或刪除共用命名空間。失去共用命名空間的存取權後,消費者帳戶也會失去在命名空間中建立之服務的存取權。

計費和計量

擁有者需要為其在共用命名空間中註冊的任何執行個體,以及在註冊這些執行個體時建立的任何 Route 53 運作狀態檢查付費。對於在命名空間中註冊的任何執行個體,以及在註冊這些執行個體時建立的任何 Route 53 運作狀態檢查,都會向消費者收取費用。如果共用命名空間是 DNS 命名空間,則會針對在命名空間中建立服務時所建立的 Route 53 DNS 記錄向命名空間擁有者收費。擁有者需支付其發出的任何 DiscoverInstancesDiscoverInstancesRevision呼叫的費用。消費者會支付他們進行的任何 DiscoverInstancesDiscoverInstancesRevision呼叫的費用。

配額

共用命名空間只會計入每個區域配額的命名空間擁有者。在共用命名空間中由取用者註冊的執行個體會計入每個命名空間配額的擁有者執行個體。如果消費者在共用命名空間中建立服務,則在服務中註冊的任何執行個體都會計入每個服務配額的消費者執行個體。如果擁有者在共用命名空間中建立服務,則在服務中註冊的任何執行個體都會計入每個服務配額的擁有者執行個體。