什么是 Amazon Resource Access Manager? - Amazon Resource Access Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Resource Access Manager?

Amazon Resource Access Manager(Amazon RAM) 可以帮助你安全地共享Amazon你在一体创建的资源Amazon Web Services 账户与其他Amazon Web Services 账户. 如果你有多个Amazon Web Services 账户,你可以创建一次资源然后使用Amazon RAM让那些其他账户可以使用该资源。如果你的账户是由Amazon Organizations,然后您可以与组织中的所有其他账户共享资源,或者只能与一个或多个指定组织单位 (OU) 包含的那些帐户共享资源。您还可以与特定共享Amazon Web Services 账户按账户 ID,无论该账户是否是组织的一部分。支持的资源类型还允许您与指定的 IAM 角色和用户共享它们。

优点

为什么要使用 Amazon RAM? 它具备下列优点:

  • 减少运营开销— 创建一次资源,然后使用Amazon RAM将资源共享给其他账户。这样您就不需要在每个账户中预置重复的资源,这可以减少运营开销。

  • 提供安全性和一致性— 使用一组策略和权限简化共享资源的安全管理。如果您要在所有单独的账户中创建重复的资源,则需要实施相同的策略和权限,然后必须在所有这些账户中保持相同的策略和权限。相反,所有的用户Amazon RAM资源共享由一组策略和权限管理。Amazon RAM提供了共享不同类型的一致体验Amazon资源的费用。

  • 提供可见性和可审计性— 通过集成查看共享资源的使用详细信息Amazon RAM使用 Amazon CloudWatchAmazon CloudTrail.Amazon RAM提供对共享资源和帐户的全面可见性。

使用基于资源的策略进行跨账户访问呢?

你可以分享一些类型的Amazon与其他资源Amazon Web Services 账户通过附加基于资源的权限策略识别你之外的委托人Amazon Web Services 账户. 但是,通过附加策略共享资源并不利用以下额外好处:Amazon RAM提供。通过使用Amazon RAM您将获得以下功能:

  • 您可以与组织或组织部门 (OU)而不必列举每一个Amazon Web Services 账户ID。相关的所有校长Amazon Web Services 账户自动访问此类资源共享中的资源。

  • 用户可以直接在源中查看与他们共享的资源Amazon Web Service控制台和 API 操作就像这些资源直接位于用户账户中一样。例如,如果您与另一个账户共享一个 Amazon VPC 子网,则该账户中的用户可以在 Amazon VPC 控制台中以及在该账户中执行的 Amazon VPC API 操作的结果中看到该子网。策略共享的资源是不可见的;相反,您必须通过其 ARN 发现并明确引用该资源。

  • 资源的所有者可以看到哪些委托人有权访问他们共享的每个单独资源。

  • 如果您将资源共享到不属于组织的账户,那么Amazon RAM启动邀请流程。该委托人必须接受邀请,然后才能访问共享资源。在组织内共享不需要邀请。

如果您有通过使用基于资源的权限策略共享的资源,则可以将这些资源 “提升” 到完全Amazon RAM-通过使用PromoteResourceShareCreatedFromPolicyAPI 操作或其等效的 CLI 操作,promote-resource-share-created-from-policy.

资源共享的工作原理

当你与另一个资源共享时Amazon Web Services 账户,您正在向该账户中的委托人授予对共享资源的访问权限。所有策略以及适用于共享资源的账户都将适用于共享的资源。共享中的资源看起来像是Amazon Web Services 账户你和他们分享了。

您可以共享全球和区域资源。有关更多信息,请参阅 与全球资源相比,共享区域资源

共享您的资源

利用 Amazon RAM,您可通过创建资源共享 来共享您拥有的资源。要创建资源共享,请指定以下内容:

  • 这些区域有:Amazon Web Services 区域要在其中创建资源共享。在控制台中,您可以从区域控制台右上角的下拉菜单。在Amazon CLI,您将--region参数。

    • 资源共享只能包含相同的区域资源Amazon Web Services 区域作为资源共享。

    • 只有当资源共享位于指定的本地区美国东部(弗吉尼亚北部)时,资源共享才能包含全球资源us-east-1.

  • 资源共享的名称。

  • 作为此资源共享的一部分,要授予访问权限的资源列表。

  • 授予对资源共享的访问权限的委托人。校长可以是个人Amazon Web Services 账户、中的组织或组织部门 (OU) 中的账户Amazon Organizations,或单独Amazon Identity and Access Management(IAM) 角色或用户。

    注意

    并非所有资源类型都可以与 IAM 角色和用户共享。有关可以与这些承担者共享的资源的信息,请参阅可共享Amazon资源.

  • 这些区域有:Amazon RAM与每种资源类型关联的权限。这是Amazon托管权限策略,确定其他账户中的委托人可以对资源共享中的资源执行什么操作。

您的账户对您共享的资源保留完整所有权。

使用共享资源

当资源的所有者将资源与您的账户共享时,您可以访问共享资源,就像您的账户所拥有一样。您可以使用相关服务的控制台访问资源,Amazon Command Line Interface(Amazon CLI) 命令和 API 操作。允许您账户中的委托人执行的 API 操作因资源类型而异,并由Amazon RAM附加到资源共享的权限。所有 IAM 策略以及在您的账户中配置的服务控制策略都将继续适用,这使您能够利用在安全性和管理控制方面的现有投资。

当您使用该资源的服务访问共享资源时,您具有与Amazon Web Services 账户拥有资源。

  • 如果资源是区域性的,那么你只能从Amazon Web Services 区域它存在于拥有账户中。

  • 如果资源是全局的,那么你可以从任何Amazon Web Services 区域该资源的服务控制台和工具支持。请注意,您可以在Amazon RAM控制台和工具仅在指定的本地区、美国东部(弗吉尼亚北部)us-east-1.

Service Quotas

您的Amazon Web Services 账户有以下限制相关Amazon RAM. 您可以请求增加部分限制的值。要请求提高限制,请联系 Amazon Web Services Support

资源 默认限制

每个资源共享的最大数量Amazon Web Services 区域在账户中

5000

每个共享委托人的最大数量Amazon Web Services 区域在账户中

5000

每个共享资源的最大数量Amazon Web Services 区域在账户中

5000

每个共享账户的最大待接受邀请数

  • 此配额仅适用于发送与不属于同一账户的账户共享的账户Amazon组织。

  • 没有限额来限制接收账户可以拥有的待处理邀请数量。

  • 在属于同一账户的两个账户之间共享时,不使用邀请Amazon内部的组织和资源共享Amazon组织已启用。

20

访问 Amazon RAM

您可以通过以下任何方式使用 Amazon RAM:

Amazon RAM 控制台

Amazon RAM 提供基于 Web 的用户界面,即 Amazon RAM 控制台。如果您已注册Amazon Web Services 账户,您可以访问Amazon RAM通过登录控制台Amazon Web Services Management Console然后选择Amazon RAM从控制台主页进行。

你也可以在浏览器中直接导航到Amazon RAM控制台. 如果尚未登录,则系统将要求您在控制台出现之前进行登录。

Amazon CLITools for Windows PowerShell

这些区域有:Amazon CLI而 Tools for PowerShell 可以直接访问Amazon RAM公共 API 操作。Amazon在 Windows、macOS 和 Linux 上支持这些工具。有关入门的更多信息,请参阅Amazon Command Line Interface用户指南,或者Amazon Tools for Windows PowerShell用户指南. 有关的命令的更多信息Amazon RAM,请参阅Amazon CLI命令参考或者Amazon Tools for Windows PowerShellCmdlet 参考.

Amazon 开发工具包

Amazon为众多编程语言提供 API 命令。有关入门的更多信息,请参阅Amazon开发工具包和工具参考指南.

查询 API

如果您不使用支持的编程语言之一,那么Amazon RAMHTTPS 查询 API 使您能够以编程方式访问Amazon RAM和Amazon. 使用Amazon RAMAPI,您可以直接向服务发出 HTTPS 请求。当您使用 Amazon RAM API 时,必须添加代码,才能使用您的凭证对请求进行数字化签名。有关详细信息,请参阅 Amazon RAM API 参考

定价

使用不会产生额外费用。Amazon RAM或创建资源共享并跨账户共享您的资源。资源使用费因资源类型而异。有关如何的更多信息Amazon对可共享资源进行账单,请参阅资源拥有服务的文档。

PCI DSS 合规性

Amazon Resource Access Manager(Amazon RAM) 支持由商家或服务提供商处理、存储和传输信用卡数据,而且已经验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息,包括如何请求 Amazon PCI Compliance Package 的副本,请参阅 PCI DSS 第 1 级