本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 已驗證的存取群組
Verified Access 群組包含 Verified Access 端點,以及套用至群組中所有端點的 Verified Access 政策。透過將具有常見安全需求的端點分組在一起,您可以定義符合多個端點最低安全需求的單一群組政策。因此,您不需要為每個端點建立和維護政策。
例如,您可以將所有銷售應用程式分組在一起,並設定整個群組的存取政策。然後,您可以使用此政策為所有銷售應用程式定義一組常見的最低安全要求。此方法有助於簡化政策管理。
建立群組時,您必須將群組與 Verified Access 執行個體建立關聯。在建立端點的過程中,您會將端點與群組建立關聯。
Verified Access 群組的另一個功能是能夠使用 與其他AWS帳戶共用AWS RAM。這可讓您集中在一個帳戶中建立和管理群組,然後與多個帳戶共用。
**Topics**
+ [
# 建立和管理 Verified Access 群組
](create-verified-access-group.md)
+ [
# 修改 Verified Access 群組政策
](modify-verified-access-group-policy.md)
+ [與其他帳戶共用群組](sharing-groups.md)
+ [
# 刪除已驗證存取群組
](delete-verified-access-group.md)
# 建立和管理 Verified Access 群組
您可以使用 Verified Access 群組,根據端點的安全需求來組織端點。當您建立 Verified Access 端點時,您可以將端點與群組建立關聯。
**Topics**
+ [
## 建立 Verified Access 群組
](#create-group)
+ [
## 修改已驗證的存取群組
](#modify-group)
## 建立 Verified Access 群組
使用下列程序來建立 Verified Access 群組。建立 Verified Access 群組之前,您必須建立 Verified Access 執行個體。如需詳細資訊,請參閱[建立已驗證存取執行個體](create-verified-access-instance.md#create-instance)。
**使用主控台建立 Verified Access 群組**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**已驗證存取群組**,然後選擇**建立已驗證存取群組**。
1. (選用) 針對**名稱標籤**和**描述**,輸入群組的名稱和描述。
1. 針對 **Verified Access 執行個體**,選取要與群組建立關聯的 Verified Access 執行個體。
1. (選用) 針對**政策定義**,輸入驗證存取政策以套用至群組。
1. (選用) 若要新增標籤,請選擇 **Add new tag (新增標籤)**,然後輸入標籤的鍵和值。
1. 選擇**建立已驗證存取群組**。
**使用 建立 Verified Access 群組AWS CLI**
使用 [create-verified-access-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-group.html) 命令。
## 修改已驗證的存取群組
使用下列程序來修改 Verified Access 群組。
**使用主控台修改 Verified Access 群組**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**已驗證存取群組**,然後選擇**建立已驗證存取群組**。
1. 選取群組,然後選擇**動作**、**修改已驗證存取群組**。
1. (選用) 更新描述。
1. 選擇**建立已驗證存取群組**。
1. 選擇要與群組建立關聯的 Verified Access 執行個體。
**使用 修改 Verified Access 群組AWS CLI**
使用 [modify-verified-access-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-group.html) 命令。
# 修改 Verified Access 群組政策
AWS Verified Access允許根據您建立的存取政策存取您的應用程式。您連接至群組的 Verified Access 政策由群組中的所有端點繼承。您可以選擇將應用程式特定的政策連接至特定端點。
使用下列程序來修改 Verified Access 群組的政策。進行變更後,需要幾分鐘的時間才會生效。
**使用主控台修改 Verified Access 群組政策**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**已驗證存取群組**。
1. 選擇 群組。
1. 選擇**動作**、**修改已驗證存取群組政策**。
1. (選用) 視需要開啟或關閉**啟用政策**。
1. (選用) 對於**政策**,輸入驗證存取政策以套用至群組。
1. 選擇**修改已驗證存取群組政策**。
**使用 修改 Verified Access 群組政策AWS CLI**
使用 [modify-verified-access-group-policy](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-group-policy.html) 命令。
# 與另一個 共用 Verified Access 群組AWS 帳戶
當您與其他AWS帳戶共用您擁有的 Verified Access 群組時,您可以讓這些帳戶在您的群組中建立 Verified Access 端點。在 中建立 Verified Access 群組的帳戶稱為*擁有者*帳戶。使用共用群組的帳戶稱為*取用*者帳戶。
下圖說明共用 Verified Access 群組的好處。中央安全團隊擁有帳戶 A。他們管理 中的使用者和群組AWS IAM Identity Center,並管理提供存取內部應用程式所需的 Verified Access 資源,例如 Verified Access 信任提供者、Verified Access 執行個體、Verified Access 群組和 Verified Access 政策。應用程式團隊擁有帳戶 B。他們管理執行其內部應用程式所需的資源,例如負載平衡器、Auto Scaling 群組、Amazon Route 53 中的 DNS 組態,以及來自 AWS Certificate Manager(ACM) 的 TLS 憑證。在中央安全團隊與帳戶 B 共用 Verified Access 群組之後,應用程式團隊可以使用共用群組建立 Verified Access 端點。根據中央安全團隊為 Verified Access 群組建立的政策,允許或拒絕存取應用程式。
![\[在組織中的帳戶之間共用 Verified Access 群組。\]](http://docs.aws.amazon.com/zh_tw/verified-access/latest/ug/images/shared-groups.png)
## 考量事項
下列考量適用於共用的 Verified Access 群組。
**擁有者**
+ 若要共用 Verified Access 群組,使用者必須具有下列許可: `ec2:PutResourcePolicy`和 `ec2:DeleteResourcePolicy`。
+ 若要共用 Verified Access 群組,您必須擁有該群組。您無法共用與您共用的 Verified Access 群組。
+ 如果您啟用與組織中帳戶共用,則可以共用資源,例如 Verified Access 群組,而無需使用邀請。否則,消費者會收到邀請,且必須接受邀請才能存取共用群組。若要啟用共用,請從組織的管理帳戶開啟AWS RAM主控台中的**[設定](https://console.aws.amazon.com/ram/home#Settings:)**頁面,然後選擇**啟用共用。AWS Organizations**
+ 如果有相關聯的 Verified Access 端點,則無法刪除群組。您可以在帳戶中的**驗證存取端點頁面上檢視消費者帳戶建立的端點**。端點擁有者的帳戶 ID 會反映在端點憑證的 Amazon Resource Name (ARN) 中。
**消費者**
+ 若要檢視與您共用的 Verified Access 群組,請在主控台中開啟 **Verified Access 群組**頁面,或呼叫 [describe-verified-access-groups](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-verified-access-groups.html)。擁有者的帳戶 ID 會反映在**擁有者**欄位和群組的 Amazon Resource Name (ARN) 中。
+ 當您建立 Verified Access 端點時,您可以指定與您共用的任何 Verified Access 群組。
+ 您無法檢視與共用群組相關聯的端點,但不是您擁有的端點。
+ 如果 Verified Access 群組的擁有者刪除資源共用,您就無法在群組中建立新的 Verified Access 端點。您在刪除資源共享之前建立的任何 Verified Access 端點都不會受到刪除資源共享的影響。不過,共用群組的擁有者可以刪除您的端點。
## 資源共享
若要共用 Verified Access 群組,您必須將其新增至資源共用。資源共用會指定要共用的資源,以及可以使用共用資源的取用者。
**使用主控台共用 Verified Access 群組**
1. 在 https://[https://console.aws.amazon.com/ram/home](https://console.aws.amazon.com/ram/home) 開啟 AWS RAM主控台。
1. 如果您沒有組織的資源共享,請建立一個。對於委託人,您可以選擇整個組織、組織單位或特定AWS帳戶。
1. 選取您的資源共享,然後選擇**修改**。
1. 針對 `Resources`,選擇 **Verified Access Groups** 做為資源類型,然後選擇要共用的資源群組。
1. 選擇**跳至:檢閱和更新**。
1. 選擇**更新資源共用**。
如需詳細資訊,請參閱*《AWS RAM 使用者指南》*中的[建立資源共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-create)。
# 刪除已驗證存取群組
完成 Verified Access 群組後,您可以將其刪除。如果有相關聯的 Verified Access 端點,則無法刪除群組。
**使用主控台刪除 Verified Access 群組**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在導覽窗格中,選擇**已驗證存取群組**。
1. 選擇 群組。
1. 選擇**動作**、**刪除已驗證的存取群組**。
1. 出現確認提示時,請輸入 **delete**,然後選擇 **Delete** (刪除)。
**使用 刪除 Verified Access 群組AWS CLI**
使用 [delete-verified-access-group](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-group.html) 命令。