本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在 中更新資源共用 AWS RAM 您可以隨時 AWS RAM 以下列方式更新 中的資源共用: + 您可以將主體、資源或標籤新增至您建立的資源共用。 + 對於支援超過預設 AWS 受管許可的資源類型,您可以選擇哪些受管許可適用於每種類型的資源。 + 當連接至資源共享的受管許可具有新的預設版本時,您可以更新受管許可以使用新版本。 + 您可以透過從資源共享中移除主體或資源來撤銷對共用資源的存取。如果您撤銷存取權,委託人將無法再存取共用資源。 **注意** 如果共用是空的,或僅包含支援離開資源共用的資源類型,則與您共用資源的委託人可以離開資源共用。如果資源共用包含不支援離開的資源類型,則會出現訊息,通知主體他們必須聯絡共用擁有者。在此情況下,身為資源共用擁有者的您必須從資源共用中移除主體。如需不支援此動作的資源類型清單,請參閱 [離開資源共享的先決條件](working-with-shared-leave.md#working-with-shared-leave-prerequisites)。 ------ #### [ Console ] **更新資源共享** 1. 導覽至 主控台中的 AWS RAM **[「由我共用」:資源共用](https://console.aws.amazon.com/ram/home#OwnedResourceShares:)**頁面。 1. 由於 AWS RAM 資源共用存在於特定 中 AWS 區域, AWS 區域 請從主控台右上角的下拉式清單中選擇適當的 。若要查看包含全域資源的資源共用,您必須將 AWS 區域 設定為美國東部 (維吉尼亞北部)、 (`us-east-1`)。如需共用全域資源的詳細資訊,請參閱 [與全域資源相比,共用區域資源](working-with-regional-vs-global.md)。 1. 選取資源共用,然後選擇**修改**。 1. 在**步驟 1:指定資源共用詳細資訊**中,檢閱資源共用詳細資訊,並視需要更新下列任何項目: 1. (選用) 若要變更資源共用的名稱,請編輯**名稱**。 1. (選用) 若要將資源新增至資源共用,請在**資源**下選擇資源類型,然後選取資源旁的核取方塊,將其新增至資源共用。只有當您在 中將區域設定為美國東部 (維吉尼亞北部)、 (`us-east-1`) 時,全域資源才會出現 AWS 管理主控台。 1. (選用) 若要從資源共用中移除資源,請在**選取的資源下尋找資源**,然後選擇資源 ID 旁的 **X**。 1. (選用) 若要將標籤新增至資源共用,請在標籤下****,於空白文字方塊中輸入標籤索引鍵和值。若要新增多個標籤索引鍵和值對,請選擇**新增標籤**。您最多可新增 50 個標籤。 1. 若要從資源共用中移除標籤,請在**標籤**下找到標籤,然後選擇旁邊的**移除**。 1. 選擇**下一步**。 1. (選用) 在**步驟 2:將受管許可與每個資源類型建立關聯**中,您可以選擇將 建立的受管許可 AWS 與資源類型建立關聯、選擇現有的客戶受管許可,或者您可以建立自己的客戶受管許可。如需詳細資訊,請參閱[受管許可的類型](security-ram-permissions.md#permissions-types)。 您也可以選擇**建立客戶受管許可**,以建構符合共用使用案例需求的客戶受管許可。如需詳細資訊,請參閱[建立客戶受管許可](create-customer-managed-permissions.md#create_cmp)。完成此程序後,請選擇 ![Refresh icon](http://docs.aws.amazon.com/zh_tw/ram/latest/userguide/images/refresh_icon.PNG),然後從受管許可下拉式清單中選取您的新客戶**受管許可**。 若要顯示受管許可允許的動作,**請展開檢視此受管許可的政策範本**。 1. 如果目前指派給資源共享的受管許可版本不是目前的預設版本,則您可以選擇更新為預設版本來**更新為預設版本**。 **注意** 在最後一個步驟之後儲存資源共享的變更之前,您可以選擇**還原至先前的**版本來取消版本更新。不過,對於 AWS 受管許可,在您儲存資源共享之後,變更即為最終變更,您無法再返回先前的版本。 1. 選擇**下一步**。 1. 在**步驟 3:選擇允許存取的主體**、檢閱選取的主體,並視需要更新下列任何項目: 1. (選用) 若要變更是否已啟用與組織內外主體的共用,請選擇下列其中一個選項: + 若要與組織外部的 AWS 帳戶 或個別 IAM 角色或使用者共用資源,請選擇**允許與外部主體共用**。 + 若要將資源共用限制為您組織中的委託人 AWS Organizations,請選擇**僅允許與您組織中的委託人共用**。 1. 對於**委託人**,請執行下列動作: + (選用) 若要 AWS 帳戶 在組織內新增組織、組織單位 (OU) 或成員,請開啟**顯示組織結構**以顯示組織的樹狀檢視。然後選取您要新增的每個主體旁的核取方塊。 **重要** 當您與組織或 OU 共用,且該範圍包含擁有資源共用的帳戶時,共用帳戶中的所有主體都會自動存取共用中的資源。授予的存取權是由與共用相關聯的受管許可所定義。這是因為 AWS RAM 連接至共用中每個資源的資源型政策使用 `"Principal": "*"`。如需詳細資訊,請參閱[在以資源為基礎的政策"Principal": "\*"中使用 的影響](getting-started-terms-and-concepts.md#term-principal-star)。 其他取用帳戶中的委託人不會立即存取共享的資源。其他帳戶的管理員必須先將身分型許可政策連接至適當的主體。這些政策必須授予資源共享中個別資源 ARNs`Allow`存取權。這些政策中的許可不能超過與資源共用相關聯的受管許可中指定的許可。 **注意** **顯示組織結構**切換只有在與 共用 AWS Organizations 已啟用,而且您以組織管理帳戶中的委託人身分登入時才會顯示。 您無法使用此方法指定組織 AWS 帳戶 外部的 ,或 IAM 角色或使用者。相反地,您必須輸入這些主體的識別符,這些識別符會顯示在**顯示組織結構**切換下方的文字方塊中。請參閱下一個項目符號點。 + (選用) 若要依委託人識別符新增委託人,請從下拉式清單中選擇委託人類型,然後輸入委託人的 ID 或 ARN。最後,選擇**新增**。 如果您選取個人 AWS 帳戶,則只有該帳戶可以存取資源共享。您可以選擇下列其中一個選項。 + **其他 AWS 帳戶 (資源擁有者除外)** – 讓資源可供其他 帳戶使用。該帳戶的管理員必須使用以身分為基礎的許可政策,將共用資源的存取權授予個別角色和使用者,以完成此程序。這些許可不能超過連接到資源共享的受管許可中定義的許可。 + **此 AWS 帳戶 (資源擁有者)** – 資源擁有帳戶中的所有角色和使用者都會自動接收連接至資源共享的受管許可所定義的存取權。 + 新增項目會立即顯示在**選取的委託人**清單中。 然後,您可以重複此步驟來新增其他帳戶、OUs 或您的組織。 + (選用) 若要移除委託人,請在**選取的委託人下找到委託人**,選取其核取方塊,然後選擇**取消選取**。 1. 選擇**下一步**。 1. 在**步驟 4:檢閱和更新**中,檢閱資源共享的組態詳細資訊。 1. 若要變更任何步驟的組態,請選擇對應至您要返回之步驟的連結,然後進行必要的變更。 如果任何受管許可仍在使用預設版本以外的版本,您可以選擇**更新為預設版本**來解決此問題。 1. 當您完成變更時,請選擇**更新資源共享**。 ------ #### [ AWS CLI ] **更新資源共享** 您可以使用下列 AWS CLI 命令來修改資源共享: + 若要重新命名資源共享,或變更是否允許外部主體,請使用命令 [https://docs.aws.amazon.com/cli/latest/reference/ram/update-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/update-resource-share.html)。下列範例會重新命名指定的資源共用,並將其設定為僅允許其組織的主體。您必須針對 AWS 區域 包含資源共用的 使用 服務端點。 ``` $ aws ram update-resource-share \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \ --name "my-renamed-resource-share" \ --no-allow-external-principals { "resourceShare": { "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "name": "my-renamed-resource-share", "owningAccountId": "123456789012", "allowExternalPrincipals": false, "status": "ACTIVE", "creationTime": 1565295733.282, "lastUpdatedTime": 1565303080.023 } } ``` + 若要將資源新增至資源共享,請使用 命令 [https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share.html)。下列範例會將子網路新增至指定的資源共用。 ``` $ aws ram associate-resource-share \ --region us-east-1 \ --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE { "resourceShareAssociations": [ "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235", "associationType": "RESOURCE", "status": "ASSOCIATING", "external": false ] } ``` + 若要新增或取代資源共享中資源類型的受管許可,請使用 命令[https://docs.aws.amazon.com/cli/latest/reference/ram/list-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permissions.html)和 [https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share-permission.html](https://docs.aws.amazon.com/cli/latest/reference/ram/associate-resource-share-permission.html)。在資源共享中,每個資源類型只能指派一個受管許可。如果您嘗試將受管許可新增至已有受管許可的資源類型,則必須包含 `--replace`選項,否則命令會失敗並顯示錯誤。 下列範例命令會列出 Amazon Elastic Compute Cloud (Amazon EC2) 子網路可用的受管許可 ARNs,然後使用其中一個 ARNs 來取代指定資源共享中該資源類型目前指派的 AWS 受管許可。 ``` $ aws ram list-permissions \ --resource-type ec2:Subnet { "permissions": [ { "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet", "version": "1", "defaultVersion": true, "name": "AWSRAMDefaultPermissionSubnet", "resourceType": "ec2:Subnet", "creationTime": "2020-02-27T11:38:26.727000-08:00", "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00" } ] } $ aws ram associate-resource-share-permission \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet { "returnValue": true } ``` + 若要從資源共用中移除資源,請使用 命令 [https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html)。下列範例會從指定的資源共用中移除具有指定 ARN 的 Amazon EC2 子網路。 ``` $ aws ram disassociate-resource-share \ --region us-east-1 \ --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE { "resourceShareAssociations": [ "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE", "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235", "associationType": "RESOURCE", "status": "DISASSOCIATING", "external": false ] } ``` + 若要修改連接至資源共享的標籤,請使用 命令[https://docs.aws.amazon.com/cli/latest/reference/ram/tag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/ram/tag-resource.html)和 [https://docs.aws.amazon.com/cli/latest/reference/ram/untag-resource.html](https://docs.aws.amazon.com/cli/latest/reference/ram/untag-resource.html)。下列範例會將 標籤新增至`project=lima`指定的資源共享。 ``` $ aws ram tag-resource \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --tags key=project,value=lima ``` 下列範例會從指定的資源共用中移除索引鍵為 `project`的標籤。 ``` $ aws ram untag-resource \ --region us-east-1 \ --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \ --tag-keys=project ``` 標記命令成功時不會產生輸出。 ------