Partage de ressources Partage de compte Principaux consommateurs Politique basée sur une ressource Autorisations gérées Version d'autorisation gérée

Termes et concepts pourAWS RAM

Les concepts suivants vous aident à comprendre comment utiliserAWS Resource Access Manager(AWS RAM) pour partager vos ressources.

Vous partagez des ressources en utilisantAWS RAMen créant unpartage de ressources. Un partage de ressources comporte les trois éléments suivants :

Une liste d'un ou de plusieursAWSressources à partager.
Une liste d'un ou de plusieursprincipesà qui l'accès aux ressources est accordé.
UNautorisation géréepour chaque type de ressource que vous incluez dans le partage. Chaque autorisation gérée s'applique à toutes les ressources de ce type dans ce partage de ressources.

Après avoir utiliséAWS RAMpour créer un partage de ressources, les principaux spécifiés dans le partage de ressources peuvent avoir accès aux ressources du partage.

Si vous activezAWS RAMpartage avecAWS Organizations, et les directeurs avec lesquels vous partagez font partie de la même organisation que le compte de partage, ces principaux peuvent y accéder dès que l'administrateur de leur compte leur accorde l'autorisation d'utiliser les ressources à l'aide d'unAWS Identity and Access Managementpolitique d'autorisation (IAM).
Si vous ne l'activez pasAWS RAMen partageant avec des Organisations, vous pouvez toujours partager des ressources avec des individusComptes AWSqui font partie de votre organisation. L'administrateur du compte consommateur reçoit une invitation à rejoindre le partage de ressources, et il doit accepter l'invitation avant que les principaux spécifiés dans le partage de ressources puissent accéder aux ressources partagées.
Vous pouvez également partager avec des comptes extérieurs à votre organisation, si le type de ressource le permet. L'administrateur du compte consommateur reçoit une invitation à rejoindre le partage de ressources, et il doit accepter l'invitation avant que les principaux spécifiés dans le partage de ressources puissent accéder aux ressources partagées. Pour plus d'informations sur les types de ressources compatibles avec ce type de partage, voirRessources partageables AWSet consultezPeut partager avec des comptes extérieurs à son organisationcolonne.

Lecompte de partagecontient la ressource qui est partagée et dans laquelle leAWS RAMl'administrateur créeAWSpartage de ressources en utilisantAWS RAM.

UnAWS RAMl'administrateur est un administrateur principal IAM autorisé à créer et à configurer des partages de ressources dans leCompte AWS. Parce queAWS RAMfonctionne en associant une politique basée sur les ressources aux ressources d'un partage de ressources, leAWS RAMl'administrateur doit également être autorisé à appelerPutResourcePolicyopération dansService AWSpour chaque type de ressource inclus dans un partage de ressources.

Principaux consommateurs

Lecompte consommateurest leCompte AWSavec lequel une ressource est partagée. Le partage de ressources peut spécifier un compte entier comme principal ou, pour certains types de ressources, des rôles individuels ou des utilisateurs du compte. Pour plus d'informations sur les types de ressources compatibles avec ce type de partage, voirRessources partageables AWSet consultezPeut partager avec les rôles et les utilisateurs IAMcolonne.

AWS RAMsoutient également les fournisseurs de services en tant que consommateurs de parts de ressources. Pour plus d'informations sur les types de ressources compatibles avec ce type de partage, voirRessources partageables AWSet consultezPeut être partagé avec les responsables du servicecolonne.

Les principaux du compte consommateur ne peuvent effectuer que les actions autorisées partous les deuxdes autorisations suivantes :

Les autorisations gérées associées au partage de ressources. Ils spécifient lemaximumautorisations qui peuvent être accordées aux principaux du compte consommateur.
Les politiques basées sur l'identité IAM associées à des rôles ou utilisateurs individuels par l'administrateur IAM dans le compte consommateur. Ces politiques doivent accorderAllowaccès aux actions spécifiées et auNom de ressource Amazon (ARN)d'une ressource dans le compte de partage.

AWS RAMprend en charge les principaux types d'IAM suivants en tant que consommateurs de partages de ressources :

Un autreCompte AWS— Le partage des ressources met les ressources incluses dans le compte de partage à la disposition du compte consommateur.
Rôles ou utilisateurs IAM individuels dans un autre compte— Certains types de ressources prennent en charge le partage direct avec des rôles ou utilisateurs IAM individuels. Spécifiez ce type principal à partir de son ARN.
- Rôle IAM—arn:aws:iam::123456789012:role/rolename
- Utilisateur IAM—arn:aws:iam::123456789012:user/username
Service principal— Partagez une ressource avec unAWSservice pour accorder au service l'accès à un partage de ressources. Le partage du principal des services permetAWSservice permettant de prendre des mesures en votre nom afin d'alléger le fardeau opérationnel.

Pour partager avec un directeur de service, choisissez d'autoriser le partage avec n'importe qui, puis, sousSélectionnez le type principal, choisissezService principalà partir de la liste déroulante. Spécifiez le nom du directeur du service au format suivant :
- service-id.amazonaws.com
Pour atténuer le risque de confusion entre les adjoints, la politique en matière de ressources indique le numéro de compte du propriétaire de la ressource dans leaws:SourceAccountclé de condition.
Comptes dans une organisation— Si le compte de partage est géré parAWS Organizations, le partage de ressources peut alors spécifier l'identifiant de l'organisation à partager avec tous les comptes de l'organisation. Le partage de ressources peut également spécifier un ID d'unité organisationnelle (UO) à partager avec tous les comptes de cette UO. Un compte de partage ne peut être partagé qu'avec sa propre organisation ou ses identifiants d'unité organisationnelle au sein de sa propre organisation. Spécifiez les comptes d'une organisation en fonction de l'ARN de l'organisation ou de l'unité d'organisation.
- Tous les comptes d'une organisation— Voici un exemple d'ARN d'une organisation dansAWS Organizations:
  
  arn:aws:organizations::123456789012:organization/o-<orgid>
- Tous les comptes d'une unité organisationnelle— Voici un exemple d'ARN d'un ID d'unité d'organisation :
  
  arn:aws:organizations::123456789012:organization/o-<orgid>/ou-<rootid>-<ouid>
Important
Lorsque vous partagez avec une organisation ou une unité d'organisation, et que cette étendue inclut le compte propriétaire du partage de ressources, tous les principaux du compte de partage ont automatiquement accès aux ressources du partage. L'accès accordé est défini par les autorisations gérées associées au partage. Cela est dû au fait que la politique basée sur les ressources quiAWS RAMs'attache à chaque ressource utilisée dans le partage"Principal": "*". Pour plus d'informations, veuillez consulter Implications de l'utilisation"Principal": "*"dans une politique basée sur les ressources.
Les directeurs des autres comptes consommateurs n'ont pas immédiatement accès aux ressources de l'action. Les administrateurs des autres comptes doivent d'abord associer des politiques d'autorisation basées sur l'identité aux principaux appropriés. Ces politiques doivent accorderAllowaccès aux ARN des ressources individuelles dans le partage de ressources. Les autorisations définies dans ces politiques ne peuvent pas dépasser celles spécifiées dans l'autorisation gérée associée au partage de ressources.

Politique basée sur une ressource

Les politiques basées sur les ressources sont des documents texte JSON qui mettent en œuvre le langage de politiques IAM. Contrairement aux politiques basées sur l'identité que vous pouvez attacher au principal, tel qu'un rôle ou un utilisateur IAM, vous pouvez attacher des politiques basées sur les ressources à la ressource.AWS RAMrédige des politiques basées sur les ressources en votre nom sur la base des informations que vous fournissez pour votre partage de ressources. Vous devez spécifierPrincipalélément de politique qui détermine qui peut accéder à la ressource. Pour plus d'informations, veuillez consulter la rubriquePolitiques basées sur l'identité et Politiques basées sur une ressourcedans leIAM User Guide.

Les politiques basées sur les ressources générées parAWS RAMsont évalués en même temps que tous les autres types de politiques IAM. Cela inclut toutes les politiques basées sur l'identité IAM associées aux principaux qui tentent d'accéder à la ressource, ainsi que les politiques de contrôle des services (SCP) pourAWS Organizationsqui pourrait s'appliquer àCompte AWS. Politiques basées sur les ressources générées parAWS RAMparticipez à la même logique d'évaluation des politiques que toutes les autres politiques IAM. Pour plus de détails sur l'évaluation des politiques et sur la manière de déterminer les autorisations qui en résultent, voirLogique d'évaluation de stratégiesdans leIAM User Guide.

AWS RAMfournit une expérience de partage de ressources simple et sécurisée en fournissant easy-to-use politiques basées sur les ressources.

Pour les types de ressources qui prennent en charge les politiques basées sur les ressources,AWS RAMconstruit et gère automatiquement les politiques basées sur les ressources pour vous. Pour une ressource donnée,AWS RAMconstruit la politique basée sur les ressources en combinant les informations provenant de tous les partages de ressources qui incluent cette ressource. Par exemple, considérez un Amazon SageMaker pipeline que vous partagez en utilisantAWS RAMet incluez-les dans deux partages de ressources différents. Vous pouvez utiliser un partage de ressources pour fournir un accès en lecture seule à l'ensemble de votre organisation. Vous pouvez ensuite utiliser l'autre partage de ressources pour octroyer uniquement SageMaker autorisations d'exécution pour un seul compte.AWS RAMcombine automatiquement ces deux ensembles d'autorisations différents en une seule politique de ressources comportant plusieurs instructions. Il attache ensuite la politique basée sur les ressources combinées à la ressource du pipeline. Vous pouvez consulter cette politique de ressources sous-jacente en appelant leGetResourcePolicyopération.Services AWSutilisez ensuite cette politique basée sur les ressources pour autoriser tout principal qui tente d'effectuer une action sur la ressource partagée.

Bien que vous puissiez créer manuellement les politiques basées sur les ressources et les associer à vos ressources en appelantPutResourcePolicy, nous vous recommandons d'utiliserAWS RAMcar il offre les avantages suivants :

Découvrabilité pour les consommateurs d'actions— Si vous partagez des ressources en utilisantAWS RAM, les utilisateurs peuvent voir toutes les ressources partagées avec eux directement dans la console du service propriétaire des ressources et les opérations d'API comme si ces ressources se trouvaient directement dans le compte de l'utilisateur. Par exemple, si vous partagez unAWS CodeBuildprojet avec un autre compte, les utilisateurs du compte consommateur peuvent voir le projet dans le CodeBuild console et dans les résultats de CodeBuild Opérations API effectuées. Les ressources partagées en joignant directement une politique basée sur les ressources ne sont pas visibles de cette façon. Au lieu de cela, vous devez découvrir et faire référence explicitement à la ressource par son ARN.
Facilité de gestion pour les actionnaires— Si vous partagez des ressources en utilisantAWS RAM, les propriétaires des ressources du compte de partage peuvent voir de manière centralisée quels autres comptes ont accès à leurs ressources. Si vous partagez une ressource à l'aide d'une politique basée sur les ressources, vous ne pouvez voir les comptes consommateurs qu'en examinant la politique relative aux ressources individuelles dans la console de service ou l'API correspondante.
Efficacité— Si vous partagez des ressources en utilisantAWS RAM, vous pouvez partager plusieurs ressources et les gérer en tant qu'unité. Les ressources partagées en utilisant uniquement des politiques basées sur les ressources nécessitent des politiques individuelles associées à chaque ressource que vous partagez.
Simplicité— AvecAWS RAM, vous n'avez pas besoin de comprendre le langage de politiques IAM basé sur JSON.AWS RAMfournit ready-to-use AWSautorisations gérées que vous pouvez choisir d'associer à vos partages de ressources.

En utilisantAWS RAM, vous pouvez même partager certains types de ressources qui ne sont pas encore compatibles avec les politiques basées sur les ressources. Pour ces types de ressources,AWS RAMgénère automatiquement une politique basée sur les ressources en tant que représentation des autorisations réelles. Les utilisateurs peuvent consulter cette représentation en appelantGetResourcePolicy. Cela inclut les types de ressources suivants :

Amazon Aurora — Clusters de base de données
Amazon EC2 : réservations de capacité et hôtes dédiés
AWS License Manager— Configurations de licence
AWS Outposts— Tables de routage, avant-postes et sites des passerelles locales
Amazon Route 53 — Règles de transfert
Amazon Virtual Private Cloud : adresses IPv4, listes de préfixes, sous-réseaux, cibles miroir du trafic, passerelles de transit et domaines de multidiffusion de passerelles de transit appartenant au client

Exemples deAWS RAMpolitiques basées sur les ressources

Si vous partagez une ressource d'image EC2 Image Builder avec une personnecompte,AWS RAMgénère une politique semblable à l'exemple suivant et l'attache à toutes les ressources d'image incluses dans le partage de ressources.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}

Si vous partagez une ressource EC2 Image BuilderRôle ou utilisateur IAMdans un autreCompte AWS,AWS RAMgénère une politique semblable à l'exemple suivant et l'attache à toutes les ressources d'image incluses dans le partage de ressources.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MySampleRole"
      },
      "Action": [
          "imagebuilder:GetImage",
          "imagebuilder:ListImages",
      ],
      "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
    }
  ]
}

Si vous partagez une ressource d'image EC2 Image Builder avec tous les comptes d'une organisation ou avec les comptes d'une unité d'organisation,AWS RAMgénère une politique semblable à l'exemple suivant et l'attache à toutes les ressources d'image incluses dans le partage de ressources.

Note

Cette politique utilise"Principal": "*"puis utilise le"Condition"élément pour restreindre les autorisations aux identités qui correspondent à la valeur spécifiéePrincipalOrgID. Pour plus d'informations, veuillez consulter Implications de l'utilisation"Principal": "*"dans une politique basée sur les ressources.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-123456789"
                }
            }
        }
    ]
}

Implications de l'utilisation"Principal": "*"dans une politique basée sur les ressources

Lorsque vous incluez"Principal": "*"dans une politique basée sur les ressources, la politique accorde l'accès à tous les principaux IAM du compte contenant la ressource, sous réserve des restrictions imposées par unConditionélément, s'il existe. ExpliciteDenyles instructions de toute politique qui s'applique au principal appelant remplacent les autorisations accordées par cette politique. Cependant, unimplicite Deny(c'est-à-dire l'absence d'unexplicite Allow) dans toutes les politiques d'identité, politiques de limites d'autorisations ou politiques de session applicablespasaboutissent àDenyaux principaux autorisés à accéder à une action en vertu d'une telle politique basée sur les ressources.

Si ce comportement n'est pas souhaitable pour votre scénario, vous pouvez le limiter en ajoutant unexplicite Denydéclaration relative à une politique d'identité, à une limite d'autorisations ou à une politique de session qui affecte les rôles et les utilisateurs concernés.

Autorisations gérées

Les autorisations gérées définissent les actions que les principaux peuvent effectuer et dans quelles conditions sur les types de ressources pris en charge dans un partage de ressources. Lorsque vous pouvez créer un partage de ressources, vous pouvez spécifier l'autorisations gérées à utiliser pour chaque type de ressource inclus dans le partage de ressources. Une autorisation gérée répertorie l'ensemble desactionsetconditionsque les directeurs peuvent exécuter avec la ressource partagée à l'aide deAWS RAM.

Vous ne pouvez associer qu'une seule autorisation gérée pour chaque type de ressource dans un partage de ressources. Vous ne pouvez pas créer un partage de ressources dans lequel certaines ressources d'un certain type utilisent une autorisation gérée et d'autres ressources du même type utilisent une autorisation gérée différente. Pour ce faire, vous devez créer deux partages de ressources différents et répartir les ressources entre eux, en accordant à chaque ensemble une autorisation de gestion différente. Il existe deux types d'autorisations gérées :

AWSautorisations gérées

AWSles autorisations gérées sont créées et gérées parAWSet accordez des autorisations pour les scénarios clients courants.AWS RAMdéfinit au moins unAWSautorisation gérée pour chaque type de ressource pris en charge. Certains types de ressources en prennent en charge plusieursAWSautorisation gérée, avec une autorisation gérée désignée commeAWSpar défaut. LedéfautAWSautorisation géréeest associé à moins que vous ne spécifiez le contraire.

Autorisations gérées par le client

Les autorisations gérées par le client sont des autorisations gérées que vous créez et gérez en spécifiant précisément quelles actions peuvent être effectuées, dans quelles conditions, les ressources étant partagées à l'aide deAWS RAM. Par exemple, vous souhaitez limiter l'accès en lecture à vos pools Amazon VPC IP Address Manager (IPAM), qui vous aident à gérer vos adresses IP à grande échelle. Vous pouvez créer des autorisations gérées par le client pour que vos développeurs puissent attribuer des adresses IP, mais vous ne pouvez pas consulter la plage d'adresses IP attribuées par d'autres comptes de développeurs. Vous pouvez suivre la meilleure pratique du moindre privilège, en n'accordant que les autorisations nécessaires pour effectuer des tâches sur des ressources partagées.

Vous définissez votre propre autorisation pour un type de ressource dans un partage de ressources avec la possibilité d'ajouter des conditions telles queClés contextuelles globalesetclés spécifiques au servicepour spécifier les conditions dans lesquelles les principaux ont accès à la ressource. Ces autorisations peuvent être utilisées dans un ou plusieursAWS RAMpartage. Les autorisations gérées par le client sont spécifiques à la région.

AWS RAMutilise les autorisations gérées comme entrée pour créer lepolitiques basées sur les ressourcespour les ressources que vous partagez.

Version d'autorisation gérée

Toute modification apportée à une autorisation gérée est représentée comme une nouvelle version de cette autorisation gérée. La nouvelle version est la version par défaut pour tous les nouveaux partages de ressources. Chaque autorisation gérée possède toujours une version désignée comme version par défaut. Lorsque vous ouAWScrée une nouvelle version d'autorisation gérée, vous devez explicitement mettre à jour l'autorisation gérée pour chaque partage de ressources existant. Vous pouvez évaluer les modifications avant de les appliquer à votre partage de ressources au cours de cette étape. Tous les nouveaux partages de ressources utiliseront automatiquement la nouvelle version de l'autorisation gérée pour le type de ressource correspondant.

AWSversions d'autorisations gérées: AWSgère toutes les modifications apportées àAWSautorisations gérées. Ces modifications répondent à de nouvelles fonctionnalités ou suppriment les défauts découverts. Vous ne pouvez appliquer la version d'autorisation gérée par défaut qu'à vos partages de ressources.
Versions d'autorisations gérées par le client: Vous gérez toutes les modifications apportées aux autorisations gérées par les clients. Vous pouvez créer une nouvelle version par défaut, définir une ancienne version comme version par défaut ou supprimer des versions qui ne sont plus associées à des partages de ressources. Chaque autorisations gérées par le client peut avoir jusqu'à cinq versions.

Lorsque vous créez ou mettez à jour un partage de ressources, vous ne pouvez joindre que la version par défaut de l'autorisation gérée spécifiée. Pour plus d'informations, veuillez consulter Mise àAWS niveau des autorisations gérées vers une version plus récente.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Démarrer

Partage de vos ressources