什么是 Amazon Resource Access Manager (Amazon RAM)? - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Resource Access Manager (Amazon RAM)?

Amazon Resource Access Manager(Amazon RAM)可帮助您安全地共享Amazon您在一个 Amazon Web Services 账户 到其他 Amazon Web Services 账户 . 如果您有多个 Amazon Web Services 账户 ,您可以创建一次资源并使用Amazon RAM以使这些其他帐户可以访问该资源。如果您的帐户由Amazon Organizations,则可以与组织中的所有其他帐户共享资源,也可以仅与一个或多个指定组织单位 (OU) 所包含的帐户共享资源。您还可以与特定的 Amazon Web Services 账户 按帐户 ID,无论该帐户是否属于组织。某些支持的资源类型还允许您与指定的 IAM 角色和用户共享它们。

Benefits

为什么要使用 Amazon RAM? 它具有以下好处:

  • 减少运营开销-创建一次资源,然后使用Amazon RAM以与其他账户共享该资源。这样您就不需要在每个账户中预置重复的资源,这可以减少运营开销。

  • 提供安全性和一致性— 通过使用一组策略和权限,简化共享资源的安全管理。如果您要在所有单独的帐户中创建重复资源,则必须执行相同的策略和权限,然后在所有这些帐户中保持它们相同。相反,Amazon RAM资源共享由一组策略和权限管理。Amazon RAM提供了一致的体验,用于共享不同类型的Amazon资源的费用。

  • 提供可见性和可审核性— 查看共享资源的使用详细信息,方法是集成Amazon RAM使用 Amazon CloudWatch 和Amazon CloudTrail.Amazon RAM提供了对共享资源和帐户的全面可见性。

资源共享的工作原理

当您与另一个 Amazon Web Services 账户 ,您将授予对该帐户中委托人的访问权限对共享资源。任何策略以及适用于您共享资源的账户的权限也适用于共享资源。共享中的资源看起来像是 Amazon Web Services 账户 您与之共享它们。

共享您的资源

通过使用 Amazon RAM,您可以创建资源共享以共享您拥有的资源。创建资源共享时,需要指定以下内容:

  • 资源共享的名称。

  • 要授予访问权限作为此资源共享的一部分的资源。

  • 您授予资源共享访问权限的委托人。委托人可以是单独的 Amazon Web Services 账户 ,在组织或组织单位 (OU) 中的帐户Amazon Organizations或单个 IAM 角色或用户。

    注意

    并非所有资源类型都可以与 IAM 角色和用户共享。有关可与这些委托人共享的资源的信息,请参阅可共享Amazonresources.

  • 这些区域有:Amazon RAM权限与每个资源类型相关联。这是一个Amazon托管权限策略,该策略确定其他帐户中的委托人可以对资源共享中的资源执行什么操作。

您的账户对您共享的资源保留完整所有权。

使用共享资源

当资源的所有者将资源与您的账户共享时,您可以访问共享资源,就像该资源为您的账户所拥有一样。您可以使用相关服务的控制台访问此资源,Amazon CLI命令以及 API 操作。允许您的账户中委托人执行的操作因资源类型而异,并且由Amazon RAM权限附加到资源共享。所有 IAM 策略以及在您的账户中配置的服务控制策略也将继续适用,这使您能够利用在安全性和管理控制方面的现有投资。

服务配额

您的 Amazon Web Services 账户 有以下与相关的限制Amazon RAM. 您可以请求增加部分限制的值。要请求提高限制,请联系 Amazon Web Services Support

资源 默认限制

每个账户的最大资源共享数

5000

每个账户的最大共享委托人数

5000

每个账户的最大共享资源数

5000

每个账户的最大待接受邀请数

20

访问 Amazon RAM

您可以通过以下任何方式使用 Amazon RAM:

Amazon RAM 控制台

Amazon RAM 提供基于 Web 的用户界面,即 Amazon RAM 控制台。如果您已注册 Amazon Web Services 账户 ,您可以访问Amazon RAM控制台,通过登录Amazon Web Services Management Console并选择Amazon RAM从控制台主页。

您也可以在浏览器中直接导航到Amazon RAM控制台. 如果尚未登录,系统将要求您在控制台显示之前登录。

Amazon Command Line Interface(Amazon CLI) 和 Tools for Windows PowerShell

这些区域有:Amazon CLI和 Tools for PowerShell 提供了直接访问Amazon RAM公共 API 操作。它们在 Windows、macOS 和 Linux 上受支持。有关入门的更多信息,请参阅Amazon Command Line Interface用户指南,或Amazon Tools for Windows PowerShell用户指南. 有关Amazon RAM,请参阅Amazon CLI命令参考Amazon Tools for Windows PowerShellCmdlet 参考.

Amazon开发工具包

Amazon为众多编程语言提供 API 命令。有关入门的更多信息,请参阅Amazon开发工具包和工具参考指南.

查询 API

如果您不使用支持的编程语言之一,则Amazon RAMHTTPS 查询 API 使您能够以编程方式访问Amazon RAM和Amazon. Amazon RAM API 可让您直接向服务发出 HTTPS 请求。当您使用 Amazon RAM API 时,必须添加代码,才能使用您的凭证对请求进行数字化签名。有关详细信息,请参阅 Amazon RAM API 参考

Pricing

使用不额外收费Amazon RAM或创建资源共享并跨账户共享您的资源。资源使用费因资源类型而异。有关如何计费可共享资源的更多信息,请参阅资源所属服务的文档。