本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 Amazon Resource Access Manager?
Amazon Resource Access Manager(Amazon RAM) 可帮助您安全地Amazon Web Services 账户与同一账户中的所有角色和用户共享您创建的Amazon资源,或者与其他账户共享Amazon Web Services 账户。如果您有多个Amazon Web Services 账户,则可以创建一次资源Amazon RAM,然后使用该资源供其他账户使用。如果您的账户由管理Amazon Organizations,则您可以与组织中的所有其他账户共享资源,或者仅与一个或多个指定组织单位 (OU) 包含的账户共享资源。您也可以Amazon Web Services 账户按账户 ID 与特定账户共享,无论该账户是否属于组织。一些支持的资源类型还允许您与指定的 IAM 角色和用户共享。
优点
为什么要使用 Amazon RAM? 它具有下列优点:
-
减少您的运营开销-创建一次资源,然后Amazon RAM用于与其他账户共享该资源。这样您就不需要在每个账户中预置重复的资源,这可以减少运营开销。
-
提供安全性和一致性-使用一组策略和权限简化共享资源的安全管理。如果您改为在所有单独的账户中创建重复的资源,则您的任务是实施相同的策略和权限,然后必须使所有这些账户的策略和权限保持相同。相反,Amazon RAM资源共享的所有用户都由一组策略和权限管理。 Amazon RAM为共享不同类型的Amazon资源提供一致的体验。
-
提供可见性和可审计性 — 通过Amazon RAM与亚马逊 CloudWatch 和的集成,查看共享资源的使用详情Amazon CloudTrail。 Amazon RAM提供对共享资源和帐户的全面可见性。
使用基于资源的策略进行跨账户访问呢?
您可以Amazon Web Services 账户通过附加基于Amazon资源的权限策略来识别外部的主人,从而与其他人共享某些类型的资源Amazon Web Services 账户。但是,通过附加政策共享资源并不能利用所Amazon RAM提供的额外好处。通过使用Amazon RAM,您可以获得以下功能:
-
您可以与企业或企业部门 (OU) 共享Amazon Web Services 账户 ID,无需列举每个企业或企业部门 (OU)。相关资源中的所有主体Amazon Web Services 账户都会自动访问此类资源共享中的资源。
-
用户可以直接在原始Amazon Web Service控制台和 API 操作中看到与他们共享的资源,就好像这些资源直接在用户的账户中一样。例如,如果您使用Amazon RAM与其他账户共享 Amazon VPC 子网,则该账户中的用户可以在 Amazon VPC 控制台以及在该账户中执行 Amazon VPC API 操作的结果中看到该子网。通过附加基于资源的策略共享的资源无法通过这种方式显示;相反,您必须通过资源的 ARN 发现并明确引用该资源。
-
资源的所有者可以看到哪些委托人有权访问他们共享的每个单独的资源。
-
如果您与不属于您组织的账户共享资源,则Amazon RAM会启动邀请流程。在委托人访问共享资源之前,接收者必须接受邀请,然后该委托人才能访问共享的资源。开启在组织内共享的功能后,与组织中的帐户共享不需要邀请。
如果您使用基于资源的权限策略共享了资源,则可以使用PromoteResourceShareCreatedFromPolicy
API 操作或其 CLI 等效操作,将这些资源 “提升” 为完全Amazon RAM托管的资源promote-resource-share-created-from-policy
。
资源共享的工作原理
当您与另一个Amazon Web Services 账户(消费账户)共享所属账户中的资源时,即为使用者账户中的委托人授予对共享资源的访问权限。适用于使用者账户中角色和用户的任何策略和权限也适用于共享资源。共享中的资源看起来像是Amazon Web Services 账户您与之共享的原生资源。
您可以共享全球和区域资源。有关更多信息,请参阅与全球资源相比,共享区域资源:
共享您的资源
利用 Amazon RAM,您可通过创建资源共享来共享您拥有的资源。要创建资源共享,需要指定以下内容,请指定以下内容:
-
要Amazon Web Services 区域在其中创建资源共享的中,要在其中创建资源共享。在控制台中,您可以从控制台右上角的区域下拉菜单中选择 Region(弗吉尼亚北部)中选择 Region(弗吉尼亚北部) 在中Amazon CLI,您可以使用
--region
参数。-
资源共享只能包含与资源共享Amazon Web Services 区域相同的区域资源。
-
只有当资源共享位于全球资源的指定主区域,即美国东部(弗吉尼亚北部)时,资源共享才能包含全局资源
us-east-1
。
-
-
资源共享的名称。
-
作为该资源共享的一部分,您要授予访问权限的资源列表。
-
您向其授予资源共享访问权限的委托人(委托人)的委托人)以下,委托人可以是个人Amazon Web Services 账户、组织或组织单位 (OU) 中的Amazon Organizations账户,也可以是个人Amazon Identity and Access Management (IAM) 角色或用户。
注意
并非所有资源类型都可以与 IAM 角色和用户共享。有关您可以与这些校长共享的资源的信息,请参阅可共享Amazon资源。
-
与每种资源类型关联的Amazon RAM权限。这是一项Amazon托管权限策略,用于确定其他账户的委托人可以对资源共享中的资源做什么。
权限的行为取决于委托人的类型:
-
如果委托人与拥有资源的账户不同,则附加到资源共享的权限是授予这些账户中的角色和用户的最大权限。然后,这些账户的管理员必须通过基于 IAM 身份的策略授予个人角色和用户访问共享资源的权限。这些策略中授予的权限不能超过附加到资源共享的权限中定义的权限。
-
如果委托人是拥有资源的账户,则权限中基于资源的策略就足够了,同一账户中的所有角色和用户都会自动获得在附加到资源共享的权限中定义的访问权限。
-
共享账户保留其共享资源的全部所有权。
使用共享资源
当资源的所有者与您的账户共享资源时,您可以访问共享资源,就像您的账户拥有该资源一样。您可以使用相关服务的控制台、Amazon Command Line Interface (Amazon CLI) 命令和 API 操作访问资源。您账户中允许委托人执行的 API 操作因资源类型而异,并由附加到资源共享的Amazon RAM权限指定。在您的账户中配置的所有 IAM 策略和服务控制策略也将继续适用,这使您能够利用在安全和治理控制方面的现有投资。
当您使用该资源的服务访问共享资源时,您具有与拥有Amazon Web Services 账户该资源的共享资源相同的能力和限制。
-
如果资源是区域性的,则您只能从其所属账户Amazon Web Services 区域中存在的资源访问该资源。
-
如果资源是全球性的,则您可以从Amazon Web Services 区域该资源的服务控制台和工具支持的任何资源访问该资源。请注意,您只能在指定的主区域,即美国东部(弗吉尼亚北部)的Amazon RAM控制台和工具中查看和管理资源共享及其全球资源
us-east-1
。
访问 Amazon RAM
您可以通过以下任何方式使用 Amazon RAM:
- Amazon RAM 控制台
-
Amazon RAM 提供基于 Web 的用户界面,即 Amazon RAM 控制台。如果您已注册,可以通过登录并从控制台主页选择选择并从控制台主页选择选择并从Amazon RAM控制台主页选择选择并从控制台主页选择选择Amazon Web Services Management Console
并Amazon RAM从控制台主页选择选择选择来访问控制台。Amazon Web Services 账户 您也可以在浏览器中直接导航到Amazon RAM控制台
。如果您尚未登录,则系统会要求您在主机出现之前登录。 - Amazon CLI和适用于 Windows 的工具 PowerShell
-
Amazon CLI和工具 PowerShell 提供对Amazon RAM公共 API 操作的直接访问。 Amazon在 Windows、macOS 和 Linux 上支持这些工具。有关开始使用的更多信息,请参阅Amazon Command Line Interface用户指南或用户指南(User Guide)的更多信息,请参阅用户指南或Amazon Tools for Windows PowerShell用户指南(User 有关命令的更多信息,请参阅命令参考Amazon RAM或 Cmdle Amazon CLIt 参考,请参阅命令参考或 Amazon Tools for Windows PowerShellCmdlet 参考。
- Amazon 软件开发工具包
-
Amazon为众多的编程语言提供 API 命令。有关入门的更多信息,请参阅 AmazonSDK 和工具参考指南。
- 查询 API
-
如果您不使用所支持的编程语言之一,则Amazon RAM HTTPS 查询 API 允许您以编程方式访问Amazon RAM和Amazon。使用Amazon RAM API,您可以直接向服务发布 HTTTS 请求 HTTS 请求)直接向服务发布 HTTPS 请求) 当您使用 Amazon RAM API 时,必须添加代码,才能使用您的凭证对请求进行数字化签名。有关详细信息,请参阅 Amazon RAM API 参考。
定价
使用Amazon RAM或创建资源共享以及跨账户共享资源不收取额外费用。资源使用费因资源类型而异。有关如何对可共享资源进行计Amazon费的更多信息,请参阅资源所属服务的文档,请参阅资源所属服务的文档,请参阅资源所属服务的文档,请参阅资源所属服务的文档,请参阅资源所有
合规和国际标准
PCI DSS
Amazon Resource Access Manager(Amazon RAM) 支持由商家或服务提供商处理、存储和传输信用卡数据,而且已经验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。
有关 PCI DSS 的更多信息,包括如何请求 Amazon PCI Compliance Package 的副本,请参阅 PCI DSS 第 1 级
SOC 和 ISO
Amazon Resource Access Manager可用于受服务组织控制 (SOC) 合规性和国际标准化组织 (ISO) ISO 9001、ISO 27001、ISO 27017、ISO 27018 和 ISO 27701 标准约束的工作负载。金融、医疗保健和其他监管领域的客户可以深入了解保护客户数据的安全流程和控制,这些信息可以在SOC报告、Amazon ISO和CSA STAR证书中找到Amazon Artifact
有关 SOC 合规性的更多信息,请参阅 SOC
有关 ISO 合规性的更多信息,请参阅 ISO 9001