與 AWS Organizations 共用安全群組 - Amazon Virtual Private Cloud
共用安全群組停止共用安全群組

與 AWS Organizations 共用安全群組

共用安全群組功能讓您能夠與相同 AWS 區域的其他 AWS Organizations 帳戶共用安全群組,並讓安全群組可供這些帳戶使用。

下圖示範如何使用共用安全群組功能來簡化 AWS Organizations 中跨帳戶的安全群組管理:

與共用 VPC 子網路中的其他帳戶共用的安全群組圖表。

此圖表顯示三個屬於相同組織的帳戶。帳戶 A 與帳戶 B 和 C 共用 VPC 子網路。帳戶 A 使用共用安全群組功能與帳戶 B 和 C 共用安全群組。帳戶 B 和 C 接著會在共用子網路中啟動執行個體時使用該安全群組。這可讓帳戶 A 管理安全群組;安全群組的任何更新都會套用至帳戶 B 和 C 在共用 VPC 子網路中執行的資源。

共用安全群組功能的需求

  • 此功能僅適用於 AWS Organizations 中相同組織中的帳戶。您必須在 AWS Organizations 中啟用共享資源

  • 共用安全群組的帳戶必須同時擁有 VPC 和安全群組。

  • 您無法共用預設安全群組。

  • 您無法共用預設 VPC 中的安全群組。

  • 參與者帳戶可以在共用 VPC 中建立安全群組,但無法共用這些安全群組。

  • IAM 主體需要一組最低許可,才能與 AWS RAM 共用安全群組。使用 AmazonEC2FullAccessAWSResourceAccessManagerFullAccess 受管 IAM 政策,確保您的 IAM 主體擁有共用和使用共用安全群組所需的許可。如果您使用自訂 IAM 政策,則需要 c2:PutResourcePolicyec2:DeleteResourcePolicy 動作。這些是僅限許可的 IAM 動作。如果 IAM 委託人未授予這些許可,嘗試使用 AWS RAM 共用安全群組時將發生錯誤。

支援此功能的服務

  • Amazon API Gateway

  • Amazon EC2

  • Amazon ECS

  • Amazon EFS

  • Amazon EKS

  • Amazon EMR

  • Amazon FSx

  • Amazon ElastiCache

  • AWS Elastic Beanstalk

  • AWS Glue

  • Amazon MQ

  • Amazon SageMaker AI

  • Elastic Load Balancing

    • Application Load Balancer

    • Network Load Balancer

此功能如何影響現有的配額

安全群組配額適用。不過,對於「每個網路介面的安全群組」配額,如果參與者在彈性網路介面 (ENI) 上使用擁有和共用的群組,則適用擁有者和參與者配額的最小值。

示範配額如何受到此功能影響的範例:

  • 擁有者帳戶配額:每個介面 4 個安全群組

  • 參與者帳戶配額:每個介面 5 個安全群組。

  • 擁有者與參與者共用群組 SG-O1、SG-O2、SG-O3、SG-O4、SG-O5。參與者已在 VPC 中擁有自己的群組:SG-P1、SG-P2、SG-P3、SG-P4、SG-P5。

  • 如果參與者建立 ENI 並僅使用其擁有的群組,他們可以關聯所有 5 個安全群組 (SG-P1、SG-P2、SG-P3、SG-P4、SG-P5),因為這是他們的配額。

  • 如果參與者建立 ENI 並使用其中的任何共用群組,則他們最多只能關聯 4 個群組。在這種情況下,此類 ENI 的配額是擁有者和參與者配額的最小值。可能的有效組態如下所示:

    • SG-O1、SG-P1、SG-P2、SG-P3

    • SG-O1、SG-O2、SG-O3、SG-O4

共用安全群組

本節說明如何使用 AWS 管理主控台 和 AWS CLI 與組織中的其他帳戶共用安全群組。

AWS Management Console
共用安全群組

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在左導覽窗格中,選擇安全群組

  3. 選擇安全群組,檢視其詳細資訊。

  4. 選擇 Sharing (共用) 標籤 。

  5. 選擇共用安全群組

  6. 選擇 Create resource share (建立資源共用)。因此,AWS RAM 主控台會開啟,您將在此建立安全群組的資源共用。

  7. 輸入共用資源的名稱

  8. 資源 – 選用下,選擇安全群組

  9. 選擇安全群組。安全群組不能是預設安全群組,也不能與預設 VPC 相關聯。

  10. 選擇下一步

  11. 檢閱允許主體執行的動作,然後選擇下一步

  12. 主體 – 選用下,選擇僅允許在組織內共用

  13. 主體下,選擇下列其中一個主體類型,然後輸入適當的數字:

    • AWS 帳戶:您組織中帳戶的帳戶號碼。

    • 組織:AWS Organizations ID。

    • 組織單位 (OU):組織中的 OU 的 ID。

    • IAM 角色:IAM 角色的 ARN。建立角色的帳戶必須與建立此資源共享的帳戶是相同組織的成員。

    • IAM 使用者:IAM 使用者的 ARN。建立使用者的帳戶必須與建立此資源共享的帳戶是相同組織的成員。

    • 服務主體:您無法與服務主體共用安全群組。

  14. 選擇新增

  15. 選擇下一步

  16. 選擇 Create resource share (建立資源共用)

  17. 共用資源下,等待以查看 Associated狀態。如果有安全群組關聯失敗,可能是因為上述其中一個限制。檢視安全群組的詳細資訊,以及詳細資訊頁面上的共用標籤,以查看與安全群組無法共用原因相關的任何訊息。

  18. 返回 VPC 主控台安全群組清單。

  19. 選擇您共用的安全群組。

  20. 選擇 Sharing (共用) 標籤 。您的 AWS RAM 資源應該會在該處顯示。如果沒有,資源共用建立可能失敗,您可能需要重新建立。

Command line
共用安全群組

  1. 您必須先為要與 AWS RAM 共用的安全群組建立資源共用。如需如何使用 AWS CLI 建立與 AWS RAM 的資源共用的步驟,請參閱《AWS RAM 使用者指南》中的在 AWS RAM 中建立資源共用

  2. 若要檢視建立的資源共用關聯,請使用 get-resource-share-associations

安全群組現在已共用。您可以在相同 VPC 內的共用子網路中啟動 EC2 執行個體時選取安全群組。

停止共用安全群組

本節說明如何使用 AWS 管理主控台 和 AWS CLI 停止與組織中的其他帳戶共用安全群組。

AWS Management Console
停止共用安全群組

  1. https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

  2. 在左導覽窗格中,選擇安全群組

  3. 選擇安全群組,檢視其詳細資訊。

  4. 選擇 Sharing (共用) 標籤 。

  5. 選擇安全群組資源共用,然後選擇停止共用

  6. 選擇是,停止共用

Command line

停止共用安全群組

使用 delete-resource-share 刪除資源共用。

安全群組不再共用。擁有者停止共用安全群組後,適用下列規則:

  • 現有參與者彈性網絡介面 (ENI) 會繼續取得對未共用安全群組所做的任何安全群組規則更新。取消共用只會防止參與者與未共用的群組建立新的關聯。

  • 參與者無法再將未共用的安全群組與其擁有的任何 ENI 建立關聯。

  • 參與者可以描述和刪除仍然與未共用安全群組相關聯的 ENI。

  • 如果參與者仍有與未共用安全群組相關聯的 ENI,則擁有者無法刪除未共用的安全群組。擁有者只能在參與者取消安全群組與其所有 EN 的關聯 (移除) 之後,才能刪除安全群組。

  • 參與者無法使用與未共用安全群組相關聯的 ENI 啟動新的 EC2 執行個體。