Qu'est-ce que AWS Resource Access Manager ?

AWS Resource Access Manager(AWS RAM) vous permet de partager vos ressources en toute sécurité au sein de votre organisation ou de vos unités organisationnelles (UO), ainsi qu'avec des rôles et des utilisateursAWS Identity and Access Management (IAM) pour les types de ressources pris en charge.Comptes AWS Si vous en avez plusieursComptes AWS, vous pouvez créer une ressource une seule fois et l'utiliserAWS RAM pour la rendre utilisable par ces autres comptes. Si votre compte est géré parAWS Organizations, vous pouvez partager des ressources avec tous les autres comptes de l'organisation ou uniquement avec les comptes appartenant à une ou plusieurs unités organisationnelles (UO) spécifiées. Vous pouvez également partager avec un identifiant de compte spécifiqueComptes AWS, que le compte fasse partie ou non d'une organisation. Certains types de ressources pris en charge vous permettent également de les partager avec des rôles et des utilisateurs IAM spécifiés.

Aperçus vidéo

La vidéo suivante fournit une brève introduction à un partage de ressourcesAWS RAM et décrit comment créer un partage de ressources. Pour plus d'informations, veuillez consulter Création d'un partage de ressources dans AWS RAM.

La vidéo suivante montre comment appliquer des autorisationsAWS gérées à vosAWS ressources. Pour plus d'informations, veuillez consulter Gestion des autorisations dansAWS RAM.

Cette vidéo montre comment créer et associer des autorisations gérées par le client selon la bonne pratique que l'on appelle principe du moindre privilège. Pour plus d'informations, consultez Création et utilisation d'autorisations gérées par le client dansAWS RAM.

Avantages d'AWS RAM

Pourquoi utiliser AWS RAM ? Cette méthode offre les avantages suivants :

• Réduit vos frais opérationnels : créez une ressource une seule fois, puis utilisez-laAWS RAM pour partager cette ressource avec d'autres comptes. Vous n'aurez ainsi plus besoin d'allouer des ressources en double dans chaque compte, ce qui permet de réduire les frais d'exploitation. Dans le compte propriétaire de la ressource, celaAWS RAM simplifie l'octroi de l'accès à tous les rôles et utilisateurs de ce compte sans avoir à utiliser des politiques d'autorisation basées sur l'identité.

• Assure sécurité et cohérence — Simplifiez la gestion de la sécurité de vos ressources partagées en utilisant un ensemble unique de politiques et d'autorisations. Si vous deviez plutôt créer des ressources dupliquées dans tous vos comptes distincts, vous auriez pour tâche de mettre en œuvre des politiques et des autorisations identiques, puis de les maintenir identiques sur tous ces comptes. Au lieu de cela, tous les utilisateurs d'un partage deAWS RAM ressources sont gérés par un ensemble unique de politiques et d'autorisations. AWS RAMoffre une expérience cohérente pour partager différents types deAWS ressources.

• Offre visibilité et auditabilité : consultez les détails d'utilisation de vos ressources partagées grâce à l'intégration d'AWS RAMAmazon CloudWatch etAWS CloudTrail. AWS RAMfournit une visibilité complète sur les ressources et les comptes partagés.

Qu'en est-il de l'accès intercompte avec des politiques basées sur les ressources ?

Vous pouvez partager certains types deAWS ressources avec d'autres personnesComptes AWS en attachant une politique basée sur les ressources qui identifieAWS Identity and Access Management les principaux (rôles et utilisateurs IAM) extérieurs à vousCompte AWS. Toutefois, le partage d'une ressource en y joignant une politique neAWS RAM permet pas de tirer parti des avantages supplémentaires qui en découlent. En utilisant,AWS RAM vous obtenez les fonctions suivantes :

• Vous pouvez partager avec une organisation ou une unité d'organisation (UO) sans avoir à énumérer tous lesCompte AWS ID.

• Les utilisateurs peuvent voir les ressources partagées avec eux directement dans laService AWS console d'origine et les opérations de l'API, comme si ces ressources se trouvaient directement dans le compte de l'utilisateur. Par exemple, si vous avez l'AWS RAMhabitude de partager un sous-réseau Amazon VPC avec un autre compte, les utilisateurs de ce compte peuvent voir le sous-réseau dans la console Amazon VPC et dans les résultats des opérations d'API Amazon VPC effectuées sur ce compte. Les ressources partagées en joignant une politique basée sur les ressources ne sont pas visibles de cette façon ; vous devez plutôt découvrir la ressource et y faire explicitement référence par son Amazon Resource Name (ARN).

• Les propriétaires d'une ressource peuvent voir quels responsables ont accès à chaque ressource individuelle qu'ils ont partagée.

• Si vous partagez des ressources avec un compte qui ne fait pas partie de votre organisation,AWS RAM lance un processus d'invitation. Le destinataire doit accepter l'invitation avant que ce mandataire puisse accéder aux ressources partagées. Une fois que vous avez activé la fonctionnalité de partage au sein de votre organisation, le partage avec les comptes de l'organisation ne nécessite pas d'invitations.

Si vous avez partagé des ressources à l'aide d'une politique d'autorisation basée sur les ressources, vous pouvez transformer ces ressources en ressources entièrementAWS RAM gérées en procédant de l'une des manières suivantes :

• Utilisez l'opération d'API PromoteResourceShareCreatedFromPolicy.

• Utilisez l'équivalent de l'opération d'API, à savoir la promote-resource-share-created-from-policycommandeAWS Command Line Interface (AWS CLI).

Fonctionnement du partage de ressources

Lorsque vous partagez une ressource du compte propriétaire avec une autre ressourceCompte AWS, le compte consommateur, vous accordez l'accès à la ressource partagée aux principaux du compte consommateur. Toutes les politiques et autorisations qui s'appliquent aux rôles et aux utilisateurs du compte utilisateur s'appliquent également à la ressource partagée. Les ressources du partage semblent être des ressources natives du partage avec lequelComptes AWS vous les avez partagées.

Vous pouvez partager des ressources mondiales et régionales. Pour plus d'informations, veuillez consulter Partage des ressources régionales par rapport aux ressources mondiales.

Partage de vos ressources

Avec AWS RAM, vous pouvez partager des ressources dont vous êtes propriétaire en créant un partage de ressources. Pour créer un partage de ressources, spécifiez les éléments suivants :

• LeRégion AWS partage de ressources. Dans la console, sélectionnez dans le menu déroulant Région dans le coin supérieur droit de la console. Dans leAWS CLI, vous utilisez le--region paramètre.

  • Un partage de ressources ne peut contenir que des ressources régionales qui sont dans leRégion AWS même partage de ressources.

  • Un partage de ressources ne peut contenir des ressources mondiales que s'il se trouve dans la région d'origine désignée pour les ressources mondiales, USA Est (Virginie du Nord),us-east-1.

• Nom du partage de ressources.

• Liste des ressources auxquelles vous souhaitez accorder l'accès dans le cadre de ce partage de ressources.

• Les mandataires auxquels vous accordez accès à la ressource. Les principaux peuvent être individuelsComptes AWS, les comptes d'une organisation ou d'une unité organisationnelle (OU) peuvent être des rôles ou des utilisateurs individuelsAWS Identity and Access Management (IAM).AWS Organizations

  Note

  Les types de ressource ne peuvent pas tous être partagés avec les utilisateurs et les rôles IAM. Pour plus d'informations sur les ressources que vous pouvez partager avec ces responsables, consultezRessources partageables AWS.

• Une autorisation gérée à associer à chaque type de ressource que vous incluez dans un partage de ressources. L'autorisation gérée détermine ce que les responsables des autres comptes peuvent faire avec les ressources du partage de ressources.

  Le comportement de l'autorisation dépend du type de mandant :

  • Si le compte principal est différent de celui qui possède la ressource, les autorisations associées au partage de ressources sont les autorisations maximales pouvant être accordées aux rôles et aux utilisateurs de ces comptes. L'administrateur de ces comptes doit ensuite accorder aux rôles et aux utilisateurs individuels l'accès à la ressource partagée selon des politiques IAM basées sur l'identité. Les autorisations accordées dans ces politiques ne peuvent pas dépasser celles définies dans les autorisations associées au partage de ressources.

Le compte propriétaire des ressources conserve la pleine propriété des ressources qu'il partage.

Utilisation de ressources partagées

Lorsque le propriétaire d'une ressource la partage avec votre compte, vous pouvez accéder à la ressource partagée comme vous le feriez si votre compte en était propriétaire. Vous pouvez accéder à la ressource en utilisant la console, lesAWS CLI commandes et les opérations d'API du service concerné. Les opérations d'API que les principaux utilisateurs de votre compte sont autorisés à effectuer varient en fonction du type de ressource et sont spécifiées par l'AWS RAMautorisation associée au partage de ressources. Toutes les politiques IAM et politiques de contrôle des services configurées sur votre compte continuent également de s'appliquer, ce qui vous permet de tirer parti de vos investissements existants en matière de contrôles de sécurité et de gouvernance.

Lorsque vous accédez à une ressource partagée à l'aide du service de cette ressource, vous avez les mêmes capacités et limitesCompte AWS que le propriétaire de la ressource.

• Si la ressource est régionale, vous pouvez y accéder uniquement depuis le compteRégion AWS dans lequel elle se trouve sur le compte propriétaire.

• Si la ressource est globale, vous pouvez y accéder depuis n'importe quelRégion AWS outil et console de service compatibles avec la ressource. Vous pouvez consulter et gérer le partage de ressources et ses ressources globales dans laAWS RAM console et dans les outils uniquement dans la région d'origine désignée, à savoir USA Est (Virginie du Nord)us-east-1.

Accès à AWS RAM

Vous pouvez utiliser AWS RAM de l'une des façons suivantes :

Console AWS RAM 

AWS RAM fournit une interface utilisateur basée sur le Web, la console AWS RAM. Si ce n'est déjà faitCompte AWS, accédez à la console en sélectionnant à la console en sélectionnant à laAWS RAM console en sélectionnant à un AWS Management Consoleet en sélectionnantAWS RAM depuis la page d'accueil de la console.

Vous pouvez également accéder directement à la AWS RAMconsole dans votre navigateur. Si ce n'est déjà fait, il est demandé à le faire avant que la console.

AWS CLIet outils pour Windows PowerShell

LesAWS CLI etAWS Tools for PowerShell fournissent un accès direct aux opérations de l'APIAWS RAM publique. AWSprend en charge ces outils surWindowsmacOS, etLinux. Pour plus d'informations sur le démarrage, consultez le Guide deAWS Command Line Interface l'utilisateur ou le Guide deAWS Tools for Windows PowerShell l'utilisateur. Pour plus d'informations sur les commandes pourAWS RAM, consultez la Référence de AWS CLIcommande ou la Référence de l'AWS Tools for Windows PowerShellapplet de commande.

Kits de développement logiciel (SDK) AWS

AWSfournit des commandes d'API pour un large éventail de langages de programmation. Pour plus d'informations sur le démarrage, consultez le Guide de référenceAWS des SDK et des outils.

API de requête

Si vous n'utilisez aucun des langages de programmation pris en charge, l'API de requêteAWS RAM HTTPS vous donne un accès programmatique àAWS RAM etAWS. Avec l'AWS RAMAPI, vous pouvez envoyer des demandes HTTPS directement au service. Lorsque vous utilisez l'API AWS RAM, vous devez inclure un code pour signer numériquement les demandes à l'aide de vos informations d'identification. Pour plus d'informations, consultez la AWS RAM API Reference (Référence d'API).

Tarification de AWS RAM

Aucuns frais supplémentaires ne sont facturés pour l'utilisationAWS RAM ou la création de partages de ressources et le partage de vos ressources entre comptes. Les coûts d'utilisation des ressources varient en fonction du type de ressource. Pour plus d'informations sur leAWS mode de facturation des ressources partageables, consultez la documentation du service propriétaire de la ressource.

Conformité et normes internationales

PCI DSS

AWS RAMprend en charge le traitement, le stockage et la transmission des données de cartes bancaires par un commerçant ou un fournisseur de services et a été validé comme étant conforme à la norme PCI (Payment Card Industry) DSS (Data Security Standard).

Pour plus d'informations sur PCI DSS, et notamment sur la manière de demander une copie du package de conformité PCI AWS, veuillez consulter PCI DSS, niveau 1.

FedRAMP

AWS RAMest autorisé comme FedRAMP Moderate dans les régionsRégions AWS : USA Est (Ohio), USA Est (Ohio), USA Est (Ohio), USA Est (Ohio), USA Est (Ohio), USA Est (Ohio), USA Est (Ohio), USA Est (Ohio), USA Est (Ohio), USA Est (Ohio), USA Est (Ohio)

AWS RAMest autorisé en tant que FedRAMP High dans les régions suivantesRégions AWS :AWS GovCloud (États-Unis ouest) etAWS GovCloud (États-Unis est).

Le Federal Risk and Authorization Management Program (FedRAMP) est un programme gouvernemental qui fournit une approche standard de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue pour les produits et services de cloud.

Pour plus d'informations sur la conformité à FedRAMP, consultez FedRAMP.

SOC et ISO

AWS RAMpeut être utilisé pour les charges de travail soumises à la conformité au contrôle de l'organisation des services (SOC) et aux normes ISO 9001, ISO 27001, ISO 27017, ISO 27018 et ISO 27701 de l'Organisation internationale de normalisation (ISO). Les clients des secteurs de la finance, de la santé et d'autres secteurs réglementés peuvent obtenir des informations sur les processus et les contrôles de sécurité qui protègent les données des clients, qui peuvent être consultés dans les rapports SOC et les certificatsAWS ISO et CSA STAR dans AWS Artifact.

Pour plus d'informations sur la conformité à la norme SOC, consultez SOC.

Pour plus d'informations sur la conformité à la norme ISO, consultez ISO 9001, ISO 27001, ISO 27017, ISO 27018 et ISO 27701.