

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 共用您的 AWS 資源
<a name="getting-started-sharing"></a>

若要使用 共用您擁有的資源 AWS RAM，請執行下列動作：
+ [在 中啟用資源共用 AWS Organizations](#getting-started-sharing-orgs) (選用)
+ [建立資源共用](#getting-started-sharing-create)

**備註**  
與 AWS 帳戶 擁有資源的 外部主體共用資源，並不會變更套用至建立資源之帳戶中資源的許可或配額。
AWS RAM 是區域服務。您共用的委託人只能在建立資源 AWS 區域 的 中存取資源共用。
有些資源有特殊考量和共用的先決條件。如需詳細資訊，請參閱[可共用 AWS 的資源](shareable.md)。

## 在 中啟用資源共用 AWS Organizations
<a name="getting-started-sharing-orgs"></a>

當您的帳戶由 管理時 AWS Organizations，您可以利用它來更輕鬆地共用資源。無論是否有 Organizations，使用者可以與個別帳戶共用。不過，如果您的帳戶位於組織中，則您可以與個別帳戶或組織或 OU 中的所有帳戶共用，而不必列舉每個帳戶。

若要在組織內共用資源，您必須先使用 AWS RAM 主控台或 AWS Command Line Interface (AWS CLI) 來啟用共用 AWS Organizations。當您在組織中共用資源時， AWS RAM 不會傳送邀請給委託人。組織中的委託人可以存取共用資源，而無需交換邀請。

當您在組織內啟用資源共用時， 會 AWS RAM 建立稱為 的服務連結角色`AWSServiceRoleForResourceAccessManager`。此角色只能由 AWS RAM 服務擔任，並授予 AWS RAM 許可，以使用 AWS 受管政策 擷取其所屬組織的相關資訊`AWSResourceAccessManagerServiceRolePolicy`。

**注意**  
根據預設，當您啟用與 共用時 AWS Organizations，組織內的資源共用會限制相同組織中的消費者存取。如果取用者帳戶離開組織，該帳戶將無法存取資源共享中的資源。無論您與 OU、整個組織或組織中的個別帳戶共用資源，都適用此限制。  
對於組織內account-to-account共用，您可以在建立新資源共用時將 設定為 `RetainSharingOnAccountLeaveOrganization`，以在帳戶離開`True`時保留共用存取權。啟用此設定後， 會 AWS RAM 傳送邀請給耗用帳戶 （類似於與外部帳戶共用）。即使離開組織，帳戶仍會保留對共用資源的存取權。  
`RetainSharingOnAccountLeaveOrganization` 設定具有下列需求和限制：  
`allowExternalPrincipals` 需要 `True`
只能在建立新的資源共用時設定
不適用於與 OUs或整個組織共用
當 `RetainSharingOnAccountLeaveOrganization` 設為 時`True`，您無法使用資源共用來共用[只能在組織內共用](shareable.html)的資源。

如果您不再需要與整個組織或 OUs 共用資源，您可以停用資源共用。如需詳細資訊，請參閱[使用 停用資源共用 AWS Organizations](security-disable-sharing-with-orgs.md)。

**最低許可**

若要執行下列程序，您必須以具有下列許可的組織管理帳戶中的委託人身分登入：
+ `ram:EnableSharingWithAwsOrganization`
+ `iam:CreateServiceLinkedRole`
+ `organizations:enableAWSServiceAccess`
+ `organizations:DescribeOrganization`

**要求**
+ 只有在以組織的管理帳戶中的委託人身分登入時，才能執行這些步驟。
+ 組織必須啟用所有功能。如需詳細資訊，請參閱*AWS Organizations 《 使用者指南*》[中的啟用組織中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。

**重要**  
您必須使用 AWS RAM 主控台或 [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) AWS CLI 命令 AWS Organizations 來啟用與 的共用。此可確保建立了 `AWSServiceRoleForResourceAccessManager` 服務連結角色。如果您使用 AWS Organizations 主控台或 [ enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) AWS CLI 命令 AWS Organizations 來啟用 的受信任存取，則不會建立`AWSServiceRoleForResourceAccessManager`服務連結角色，而且您無法在組織內共用資源。

------
#### [ Console ]

**在您的組織內啟用資源共用**

1. 在 AWS RAM 主控台中開啟**[設定](https://console.aws.amazon.com/ram/home#Settings:)**頁面。

1. 選擇**啟用與 共用 AWS Organizations**，然後選擇**儲存設定**。

------
#### [ AWS CLI ]

**在您的組織內啟用資源共用**  
使用 [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) 命令。

此命令可用於任何 AWS 區域，並可在 AWS RAM 支援 AWS Organizations 的所有區域中與 共用。

```
$ aws ram enable-sharing-with-aws-organization
{
    "returnValue": true
}
```

------

## 建立資源共用
<a name="getting-started-sharing-create"></a>

若要共用您擁有的資源，請建立資源共用。下列為此程序的概觀：

1. 新增您要共用的資源。

1. 針對您在共用中包含的每個資源類型，指定用於該資源類型的[受管許可](getting-started-terms-and-concepts.md#term-managed-permission)。
   + 您可以選擇其中一個可用的 AWS 受管許可、現有的客戶受管許可，或建立新的客戶受管許可。
   + AWS 會建立受管許可 AWS ，以涵蓋標準使用案例。
   + 客戶受管許可可讓您量身打造自己的受管許可，以符合您的安全和業務需求。
**注意**  
如果選取的受管許可有多個版本，則 AWS RAM 會自動連接預設版本。您只能連接指定為預設值的******版本。

1. 指定您想要存取資源的委託人。

**考量事項**
+ 如果您稍後需要刪除包含在共用中的 AWS 資源，建議您先從包含該資源共用中移除資源，或刪除資源共用。
+ 您可以在資源共享中包含的資源類型列於 [可共用 AWS 的資源](shareable.md)。
+ 只有在您[擁有](getting-started-terms-and-concepts.md#term-sharing-account)資源時，才能共用資源。您無法共用與您共用的資源。
+ AWS RAM 是區域服務。當您與其他 中的主體共用資源時 AWS 帳戶，這些主體必須從建立資源 AWS 區域 的相同位置存取每個資源。對於支援的全域資源，您可以從該資源的服務主控台和工具 AWS 區域 支援的任何 存取這些資源。您只能在 AWS RAM 指定的主區域美國東部 （維吉尼亞北部） 的 主控台和工具中檢視此類資源共用及其全域資源。 `us-east-1`如需 AWS RAM 和 全域資源的詳細資訊，請參閱 [與全域資源相比，共用區域資源](working-with-regional-vs-global.md)。
+ 如果您共用的 帳戶是 中組織的一部分， AWS Organizations 且已啟用組織內的共用，則您共用的組織中的任何主體都會自動獲得資源共用的存取權，而無需使用邀請。您在組織內容之外與其共用的帳戶中的委託人會收到加入資源共用的邀請，並且只有在他們接受邀請後才會獲得共用資源的存取權。
+ 如果您與服務委託人共用，則無法將任何其他委託人與資源共用建立關聯。
+ 如果共用是在屬於組織一部分的帳戶或主體之間，則組織成員資格的任何變更都會動態影響對資源共用的存取。
  + 如果您將 AWS 帳戶 新增至組織或可存取資源共享的 OU，則該新成員帳戶會自動存取資源共享。您共用的帳戶管理員接著可以將該共用中資源的存取權授予該帳戶中的個別委託人。
  + 如果您從組織或可存取資源共享的 OU 中移除帳戶，則該帳戶中的任何主體會自動失去透過該資源共享存取的資源存取權。
  + 如果您直接與成員帳戶或成員帳戶中的 IAM 角色或使用者共用，然後從組織中移除該帳戶，則該帳戶中的任何主體都會無法存取透過該資源共用存取的資源。
**重要**  
當您與組織或 OU 共用，且該範圍包含擁有資源共用的帳戶時，共用帳戶中的所有主體都會自動存取共用中的資源。授予的存取權是由與共用相關聯的受管許可所定義。這是因為 AWS RAM 連接至共用中每個資源的資源型政策使用 `"Principal": "*"`。如需詳細資訊，請參閱[在以資源為基礎的政策"Principal": "\$1"中使用 的影響](getting-started-terms-and-concepts.md#term-principal-star)。  
其他取用帳戶中的委託人不會立即存取共享的資源。其他帳戶的管理員必須先將身分型許可政策連接至適當的主體。這些政策必須授予資源共享中個別資源 ARNs`Allow`存取權。這些政策中的許可不能超過與資源共用相關聯的受管許可中指定的許可。
+ 您只能將帳戶所屬的組織和該組織的 OUs 新增至資源共享。您無法將來自自己組織外部OUs 或組織以主體身分新增至資源共享。不過，您可以為 AWS 帳戶 支援的 服務，將來自組織外部的 IAM 角色和使用者新增為資源共用的主體。
**注意**  
並非所有資源類型都可與 IAM 角色和使用者共用。如需可與這些委託人共用之資源的相關資訊，請參閱 [可共用 AWS 的資源](shareable.md)。
+ 對於下列資源類型，您有七天的時間接受加入下列資源類型共享的邀請。如果您在邀請過期之前不接受邀請，則會自動拒絕邀請。
**重要**  
對於**不在**下列清單中的共用資源類型，您有 **12 小時**可以接受加入資源共用的邀請。12 小時後，邀請會過期，且資源共享中的最終使用者主體會取消關聯。最終使用者無法再接受邀請。
  + Amazon Aurora – 資料庫叢集
  + Amazon EC2 – 容量保留和專用主機
  + AWS License Manager – 授權組態
  + AWS Outposts – 本機閘道路由表、前哨站和網站 
  + Amazon Route 53 – 轉送規則
  + Amazon VPC – 客戶擁有的 IPv4 地址、字首清單、子網路、流量鏡射目標、傳輸閘道、傳輸閘道多點傳送網域

------
#### [ Console ]

**建立資源共享**

1. 開啟 [AWS RAM 主控台](https://console.aws.amazon.com/ram/home)。

1. 由於 AWS RAM 資源共用存在於特定 中 AWS 區域， AWS 區域 請從主控台右上角的下拉式清單中選擇適當的 。若要查看包含全域資源的資源共用，您必須將 AWS 區域 設定為美國東部 （維吉尼亞北部）、 (`us-east-1`)。如需共用全域資源的詳細資訊，請參閱 [與全域資源相比，共用區域資源](working-with-regional-vs-global.md)。如果您想要在資源共享中包含全域資源，則必須選擇指定的主區域，美國東部 （維吉尼亞北部），`us-east-1`。

1. 如果您是新手 AWS RAM，請從首頁選擇**建立資源共享**。否則，請從我共用：**資源共用頁面中選擇建立**資源共用。 **[https://console.aws.amazon.com/ram/home#OwnedResourceShares:](https://console.aws.amazon.com/ram/home#OwnedResourceShares:)**

1. 在**步驟 1：指定資源共用詳細資訊**中，執行下列動作：

   1. 在**名稱**欄位中，輸入資源共用的描述性名稱。

   1. 在**資源**下，選擇要新增至資源共享的資源，如下所示：
      + 針對**選取資源類型**，選擇要共用的資源類型。這會將可共用資源清單篩選為僅所選類型的資源。
      + 在產生的資源清單中，選取您要共用的個別資源旁的核取方塊。選取的資源會在**選取的資源**下移動。

        如果您要共用與特定可用區域相關聯的資源，則使用可用區域 ID (AZ ID) 可協助您判斷這些資源在帳戶之間的相對位置。如需詳細資訊，請參閱[AWS 資源的可用區域 IDs](working-with-az-ids.md)。

   1. （選用） 若要將[標籤連接至](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)資源共享，請在**標籤**下輸入標籤索引鍵和值。選擇新增**標籤來新增**其他標籤。視需要重複此步驟。這些標籤僅適用於資源共用本身，不適用於資源共用中的資源。

1. 選擇**下一步**。

1. 在**步驟 2：將受管許可與每個資源類型建立關聯**，您可以選擇將 建立的受管許可 AWS 與資源類型建立關聯、選擇現有的客戶受管許可，或者您可以為支援的資源類型建立自己的客戶受管許可。如需詳細資訊，請參閱[受管許可的類型](security-ram-permissions.md#permissions-types)。

   選擇**建立客戶受管許可**，以建構符合共用使用案例需求的客戶受管許可。如需更多資訊，請參閱[建立客戶受管許可](create-customer-managed-permissions.md#create_cmp)。完成程序後，請選擇 ，![\[Refresh icon\]](http://docs.aws.amazon.com/zh_tw/ram/latest/userguide/images/refresh_icon.PNG)然後從受管許可下拉式清單中選擇您的新客戶**受管許可**。
**注意**  
如果選取的受管許可有多個版本，則 AWS RAM 會自動連接預設版本。您只能連接指定為預設值的******版本。

   若要顯示受管許可允許的動作，**請展開檢視此受管許可的政策範本**。

1. 選擇**下一步**。

1. 在**步驟 3：授予主體存取權**中，執行下列動作：

   1. 根據預設，會選取**允許與任何人共用**，這表示對於支援它的資源類型，您可以與組織外部 AWS 帳戶 的資源共用資源。這不會影響*只能在*組織內共用的資源類型，例如 Amazon VPC 子網路。您也可以與 IAM 角色和使用者共用一些[支援的資源類型](shareable.md)。

      若要將資源共用限制為您組織中的帳戶和主體，請選擇**僅允許在您的組織中共用**。

   1. 對於**委託人**，請執行下列動作：
      + 若要新增組織、組織單位 (OU) 或屬於組織的 AWS 帳戶 ，請開啟**顯示組織結構**。這會顯示組織的樹狀檢視。然後，選取您要新增的每個主體旁邊的核取方塊。
**重要**  
當您與組織或 OU 共用，且該範圍包含擁有資源共用的帳戶時，共用帳戶中的所有主體都會自動存取共用中的資源。授予的存取權是由與共用相關聯的受管許可所定義。這是因為 AWS RAM 連接至共用中每個資源的資源型政策使用 `"Principal": "*"`。如需詳細資訊，請參閱[在以資源為基礎的政策"Principal": "\$1"中使用 的影響](getting-started-terms-and-concepts.md#term-principal-star)。  
其他取用帳戶中的委託人不會立即存取共享的資源。其他帳戶的管理員必須先將身分型許可政策連接至適當的主體。這些政策必須授予資源共享中個別資源 ARNs`Allow`存取權。這些政策中的許可不能超過與資源共用相關聯的受管許可中指定的許可。
        + 如果您選取組織 (ID 以 開頭`o-`)，則組織中所有 AWS 帳戶 中的主體都可以存取資源共用。
        + 如果您選取 OU (ID 以 開頭`ou-`)，則該 OU 及其子 OUs AWS 帳戶 中的所有主體都可以存取資源共用。
        + 如果您選取個人 AWS 帳戶，則只有該帳戶中的主體可以存取資源共享。
**注意**  
**顯示組織結構**切換只有在與 共用 AWS Organizations 已啟用，且您已登入組織的管理帳戶時，才會顯示。  
您無法使用此方法指定組織 AWS 帳戶 外部的 ，或 IAM 角色或使用者。反之，您必須關閉**顯示組織結構**，並使用下拉式清單和文字方塊來輸入 ID 或 ARN。
      + 若要依 ID 或 ARN 指定委託人，包括組織外部的委託人，請為每個委託人選取委託人類型。接著，輸入 ID （適用於 AWS 帳戶、組織或 OU) 或 ARN （適用於 IAM 角色或使用者），然後選擇**新增**。可用的委託人類型和 ID 和 ARN 格式如下所示：
        + **AWS 帳戶** – 若要新增 AWS 帳戶，請輸入 12 位數的帳戶 ID。例如：

          `123456789012`
        + **組織** – 若要新增 AWS 帳戶 組織中的所有 ，請輸入組織的 ID。例如：

          `o-abcd1234`
        + **組織單位 (OU)** – 若要新增 OU，請輸入 OU 的 ID。例如：

          `ou-abcd-1234efgh`
        + **IAM 角色** – 若要新增 IAM 角色，請輸入角色的 ARN。使用下列語法：

          `arn:partition:iam::account:role/role-name`

          例如：

          `arn:aws:iam::123456789012:role/MyS3AccessRole`
**注意**  
若要取得 IAM 角色的唯一 ARN，[請在 IAM 主控台中檢視角色清單](https://console.aws.amazon.com/iamv2/home?#/roles)、使用 [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) AWS CLI 命令或 [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) API 動作。
        + **IAM 使用者** – 若要新增 IAM 使用者，請輸入使用者的 ARN。使用下列語法：

          `arn:partition:iam::account:user/user-name`

          例如：

          `arn:aws:iam::123456789012:user/bob`
**注意**  
若要取得 IAM 使用者的唯一 ARN，[請在 IAM 主控台中檢視使用者清單](https://console.aws.amazon.com/iamv2/home?#/users)、使用 [https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) AWS CLI 命令或 [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) API 動作。
      +  **服務委託人** – 若要新增服務委託人，請從選取委託人類型下拉式清單中選擇**服務**委託人。 ****輸入 AWS 服務主體的名稱。使用下列語法：
        + `service-id.amazonaws.com`

          例如：

          `pca-connector-ad.amazonaws.com`

   1. 對於**選取的委託人**，請確認您指定的委託人出現在清單中。

1. 選擇**下一步**。

1. 在**步驟 4：檢閱和建立**中，檢閱資源共享的組態詳細資訊。若要變更任何步驟的組態，請選擇對應至您要返回之步驟的連結，並進行必要的變更。

1. 檢閱完資源共享後，請選擇**建立資源共享**。

   資源和委託人可能需要幾分鐘的時間才能完成關聯。在您嘗試使用資源共用之前，允許此程序完成。

1. 您可以隨時新增和移除資源和主體，或將自訂標籤套用至資源共用。對於支援超過預設受管許可的類型，您可以變更資源共用中包含的資源類型的受管許可。當您不想再共用資源時，可以刪除資源共用。如需詳細資訊，請參閱[共用您擁有 AWS 的資源](working-with-sharing.md)。

------
#### [ AWS CLI ]

**建立資源共享**  
使用 [https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) 命令。下列命令會建立與 AWS 帳戶 組織中所有 共用的資源共用。共用包含 AWS License Manager 授權組態，並授予該資源類型的預設受管許可。

**注意**  
如果您想要在此資源共享中使用具有資源類型的客戶受管許可，您可以使用現有的客戶受管許可或建立新的客戶受管許可。記下客戶受管許可的 ARN，然後建立資源共享。如需詳細資訊，請參閱[建立客戶受管許可](create-customer-managed-permissions.md#create_cmp)。

```
$ aws ram create-resource-share \
    --region us-east-1 \
    --name MyLicenseConfigShare \
    --permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
    --resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
    --principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
        "name": "MyLicenseConfigShare",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": true,
        "status": "ACTIVE",
        "creationTime": "2021-09-14T20:42:40.266000-07:00",
        "lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
    }
}
```

------