本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 與 AWS Organizations 共用安全群組
共用安全群組功能可讓您與相同 AWS 區域內的其他 AWS Organizations 帳戶共用安全群組,並讓安全群組可供這些帳戶使用。
下圖示範如何使用共用安全群組功能來簡化 AWS Organizations 中跨帳戶的安全群組管理:
![\[與共用 VPC 子網路中的其他帳戶共用的安全群組圖表。\]](http://docs.aws.amazon.com/zh_tw/vpc/latest/userguide/images/sec-group-sharing.png)
此圖表顯示三個屬於相同組織的帳戶。帳戶 A 與帳戶 B 和 C 共用 VPC 子網路。帳戶 A 使用共用安全群組功能與帳戶 B 和 C 共用安全群組。帳戶 B 和 C 接著會在共用子網路中啟動執行個體時使用該安全群組。這可讓帳戶 A 管理安全群組;安全群組的任何更新都會套用至帳戶 B 和 C 在共用 VPC 子網路中執行的資源。
**共用安全群組功能的需求**
+ 此功能僅適用於 AWS Organizations 中相同組織中的帳戶。[資源共用](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html)必須在 AWS Organizations 中啟用。
+ 共用安全群組的帳戶必須同時擁有 VPC 和安全群組。
+ 您無法共用預設安全群組。
+ 您無法共用預設 VPC 中的安全群組。
+ 參與者帳戶可以在共用 VPC 中建立安全群組,但無法共用這些安全群組。
+ IAM 主體需要一組最低許可,才能與之共用安全群組 AWS RAM。使用 `AmazonEC2FullAccess` 和 `AWSResourceAccessManagerFullAccess` 受管 IAM 政策,確保您的 IAM 主體擁有共用和使用共用安全群組所需的許可。如果您使用自訂 IAM 政策,則需要 `c2:PutResourcePolicy` 和 `ec2:DeleteResourcePolicy` 動作。這些是僅限許可的 IAM 動作。如果 IAM 委託人未授予這些許可,嘗試使用 AWS RAM共用安全群組時將發生錯誤。
**支援此功能的服務**
+ Amazon API Gateway
+ Amazon EC2
+ Amazon ECS
+ Amazon EFS
+ Amazon EKS
+ Amazon EMR
+ Amazon FSx
+ Amazon ElastiCache
+ AWS Elastic Beanstalk
+ AWS Glue
+ Amazon MQ
+ Amazon SageMaker AI
+ Elastic Load Balancing
+ Application Load Balancer
+ Network Load Balancer
**此功能如何影響現有的配額**
[安全群組配額](amazon-vpc-limits.md#vpc-limits-security-groups)適用。不過,對於「每個網路介面的安全群組」配額,如果參與者在彈性網路介面 (ENI) 上使用擁有和共用的群組,則適用擁有者和參與者配額的最小值。
示範配額如何受到此功能影響的範例:
+ 擁有者帳戶配額:每個介面 4 個安全群組
+ 參與者帳戶配額:每個介面 5 個安全群組。
+ 擁有者與參與者共用群組 SG-O1、SG-O2、SG-O3、SG-O4、SG-O5。參與者已在 VPC 中擁有自己的群組:SG-P1、SG-P2、SG-P3、SG-P4、SG-P5。
+ 如果參與者建立 ENI 並僅使用其擁有的群組,他們可以關聯所有 5 個安全群組 (SG-P1、SG-P2、SG-P3、SG-P4、SG-P5),因為這是他們的配額。
+ 如果參與者建立 ENI 並使用其中的任何共用群組,則他們最多只能關聯 4 個群組。在這種情況下,此類 ENI 的配額是擁有者和參與者配額的最小值。可能的有效組態如下所示:
+ SG-O1、SG-P1、SG-P2、SG-P3
+ SG-O1、SG-O2、SG-O3、SG-O4
## 共用安全群組
本節說明如何使用 AWS 管理主控台 和 AWS CLI 與 Organization 中的其他帳戶共用安全群組。
------
#### [ AWS Management Console ]
**共用安全群組**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在左導覽窗格中,選擇**安全群組**。
1. 選擇安全群組,檢視其詳細資訊。
1. 選擇 **Sharing (共用)** 標籤 。
1. 選擇**共用安全群組**。
1. 選擇 **Create resource share (建立資源共用)**。因此, AWS RAM 主控台會開啟,您將在其中為安全群組建立資源共享。
1. 輸入共用資源的**名稱**。
1. 在**資源 – 選用**下,選擇**安全群組**。
1. 選擇安全群組。安全群組不能是預設安全群組,也不能與預設 VPC 相關聯。
1. 選擇**下一步**。
1. 檢閱允許主體執行的動作,然後選擇**下一步**。
1. 在**主體 – 選用**下,選擇**僅允許在組織內共用**。
1. 在**主體**下,選擇下列其中一個主體類型,然後輸入適當的數字:
+ **AWS 帳戶**:您 Organization 中帳戶的帳戶號碼。
+ **Organization**: AWS Organizations ID。
+ **組織單位 (OU)**:組織中的 OU 的 ID。
+ **IAM 角色**:IAM 角色的 ARN。建立角色的帳戶必須與建立此資源共享的帳戶是相同組織的成員。
+ **IAM 使用者**:IAM 使用者的 ARN。建立使用者的帳戶必須與建立此資源共享的帳戶是相同組織的成員。
+ **服務主體**:您無法與服務主體共用安全群組。
1. 選擇**新增**。
1. 選擇**下一步**。
1. 選擇 **Create resource share (建立資源共用)**。
1. 在**共用資源**下,等待以查看 `Associated` 的**狀態**。如果有安全群組關聯失敗,可能是因為上述其中一個限制。檢視安全群組的詳細資訊,以及詳細資訊頁面上的**共用**標籤,以查看與安全群組無法共用原因相關的任何訊息。
1. 返回 VPC 主控台安全群組清單。
1. 選擇您共用的安全群組。
1. 選擇 **Sharing (共用)** 標籤 。您的 AWS RAM 資源應該會在那裡顯示。如果沒有,資源共用建立可能失敗,您可能需要重新建立。
------
#### [ Command line ]
**共用安全群組**
1. 您必須先為要共用的安全群組建立資源共用 AWS RAM。如需如何使用 在 中建立資源共享的步驟 AWS RAM AWS CLI,請參閱*AWS RAM 《 使用者指南*》中的[在 中建立資源共享 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)
1. 若要檢視建立的資源共用關聯,請使用 [get-resource-share-associations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/get-resource-share-associations.html)。
------
安全群組現在已共用。您可以在相同 VPC 內的共用子網路中[啟動 EC2 執行個體](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/LaunchingAndUsingInstances.html)時選取安全群組。
## 停止共用安全群組
本節說明如何使用 AWS 管理主控台 和 AWS CLI 來停止與 Organization 中的其他帳戶共用安全群組。
------
#### [ AWS Management Console ]
**停止共用安全群組**
1. 在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) 開啟 Amazon VPC 主控台。
1. 在左導覽窗格中,選擇**安全群組**。
1. 選擇安全群組,檢視其詳細資訊。
1. 選擇 **Sharing (共用)** 標籤 。
1. 選擇安全群組資源共用,然後選擇**停止共用**。
1. 選擇**是,停止共用**。
------
#### [ Command line ]
**停止共用安全群組**
使用 [delete-resource-share](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/delete-resource-share.html) 刪除資源共用。
------
安全群組不再共用。擁有者停止共用安全群組後,適用下列規則:
+ 現有參與者彈性網絡介面 (ENI) 會繼續取得對未共用安全群組所做的任何安全群組規則更新。取消共用只會防止參與者與未共用的群組建立新的關聯。
+ 參與者無法再將未共用的安全群組與其擁有的任何 ENI 建立關聯。
+ 參與者可以描述和刪除仍然與未共用安全群組相關聯的 ENI。
+ 如果參與者仍有與未共用安全群組相關聯的 ENI,則擁有者無法刪除未共用的安全群組。擁有者只能在參與者取消安全群組與其所有 EN 的關聯 (移除) 之後,才能刪除安全群組。
+ 參與者無法使用與未共用安全群組相關聯的 ENI 啟動新的 EC2 執行個體。