Berbagi sumber daya Berbagi akun Mengkonsumsi prinsipal Kebijakan berbasis sumber daya Izin terkelola Versi izin terkelola

Syarat dan konsep untukAWS RAM

Konsep-konsep berikut membantu menjelaskan bagaimana Anda dapat menggunakanAWS Resource Access Manager(AWS RAM) untuk berbagi sumber daya Anda.

Anda berbagi sumber daya menggunakanAWS RAMdengan membuatberbagi sumber daya. Pembagian sumber daya memiliki tiga elemen berikut:

Daftar satu atau lebihAWSsumber daya untuk dibagikan.
Daftar satu atau lebihutamakepada siapa akses ke sumber daya diberikan.
SEBUAHizin terkelolauntuk setiap jenis sumber daya yang Anda sertakan di bagian. Setiap izin terkelola berlaku untuk semua sumber daya jenis itu dalam pembagian sumber daya tersebut.

Setelah Anda menggunakanAWS RAMuntuk membuat pembagian sumber daya, prinsipal yang ditentukan dalam pembagian sumber daya dapat diberikan akses ke sumber daya berbagi.

Jika Anda menghidupkanAWS RAMberbagi denganAWS Organizations, dan prinsipal Anda yang Anda bagikan berada di organisasi yang sama dengan akun berbagi, prinsipal tersebut dapat menerima akses segera setelah administrator akun mereka memberi mereka izin untuk menggunakan sumber daya menggunakanAWS Identity and Access Management(IAM) kebijakan izin.
Jika Anda tidak menghidupkanAWS RAMberbagi dengan Organizations, Anda masih dapat berbagi sumber daya dengan individuAkun AWSyang ada di organisasi Anda. Administrator di akun konsumsi menerima undangan untuk bergabung dengan pembagian sumber daya, dan mereka harus menerima undangan sebelum kepala sekolah yang ditentukan dalam pembagian sumber daya dapat mengakses sumber daya bersama.
Anda juga dapat berbagi dengan akun di luar organisasi Anda, jika jenis sumber daya mendukungnya. Administrator di akun konsumsi menerima undangan untuk bergabung dengan pembagian sumber daya, dan mereka harus menerima undangan sebelum kepala sekolah yang ditentukan dalam pembagian sumber daya dapat mengakses sumber daya bersama. Untuk informasi tentang jenis sumber daya yang mendukung jenis berbagi ini, lihatSumber daya yang dapat dibagikan AWSdan melihatDapat berbagi dengan akun di luar organisasinyakolom.

Theberbagi akunberisi sumber daya yang dibagikan dan di manaAWS RAMadministrator membuatAWSberbagi sumber daya dengan menggunakanAWS RAM.

SebuahAWS RAMadministrator adalah prinsipal IAM yang memiliki izin untuk membuat dan mengonfigurasi pembagian sumber daya diAkun AWS. KarenaAWS RAMbekerja dengan melampirkan kebijakan berbasis sumber daya ke sumber daya dalam pembagian sumber,AWS RAMadministrator juga harus memiliki izin untuk memanggilPutResourcePolicyoperasi diLayanan AWSuntuk setiap jenis sumber daya yang termasuk dalam sumber daya.

Mengkonsumsi prinsipal

Theakun konsumsiadalahAkun AWSyang mana sumber daya dibagikan. Pembagian sumber daya dapat menentukan seluruh akun sebagai prinsipal, atau untuk beberapa jenis sumber daya, peran individu, atau pengguna dalam akun. Untuk informasi tentang jenis sumber daya yang mendukung jenis berbagi ini, lihatSumber daya yang dapat dibagikan AWSdan melihatDapat berbagi dengan peran & pengguna IAMkolom.

AWS RAMjuga mendukung prinsip layanan sebagai konsumen pembagian sumber daya. Untuk informasi tentang jenis sumber daya yang mendukung jenis berbagi ini, lihatSumber daya yang dapat dibagikan AWSdan melihatDapat berbagi dengan kepala sekolah layanankolom.

Prinsipal dalam akun konsumsi hanya dapat melakukan tindakan yang diizinkan olehkedua-duanyadari izin berikut:

Izin terkelola yang dilampirkan ke pembagian sumber daya. Ini menentukanmaksimumperizinan yang dapat diberikan ke kepala sekolah di akun konsumsi.
Kebijakan berbasis identitas IAM yang dilampirkan pada peran individu atau pengguna oleh administrator IAM di akun konsumsi. Kebijakan tersebut harus memberikanAllowakses ke tindakan tertentu dan keAmazon Resource Name (ARN) Amazonsumber daya di akun berbagi.

AWS RAMmendukung tipe utama IAM berikut sebagai konsumen pembagian sumber daya:

LainAkun AWS— Pembagian sumber daya membuat sumber daya yang disertakan dalam akun berbagi tersedia untuk akun konsumsi.
Peran IAM individu atau pengguna di akun lain— Beberapa jenis sumber daya mendukung berbagi langsung dengan peran IAM individu atau pengguna. Tentukan jenis utama ini dengan ARN.
- Peran IAM—arn:aws:iam::123456789012:role/rolename
- Pengguna IAM—arn:aws:iam::123456789012:user/username
Prinsipal layanan— Bagikan sumber daya denganAWSlayanan untuk memberikan akses layanan ke pembagian sumber daya. Pembagian utama layanan memungkinkanAWSLayanan untuk mengambil tindakan atas nama Anda untuk meringankan beban operasional.

Untuk berbagi dengan kepala layanan, pilih untuk mengizinkan berbagi dengan siapa pun, dan kemudian, di bawahPilih jenis utama, pilihPrinsipal layanandari daftar dropdown. Tentukan nama kepala layanan dalam format berikut:
- service-id.amazonaws.com
Untuk mengurangi risiko wakil yang bingung, kebijakan sumber daya menunjukkan ID akun pemilik sumber daya diaws:SourceAccountkunci kondisi.
Akun dalam suatu organisasi— Jika akun berbagi dikelola olehAWS Organizations, maka pembagian sumber daya dapat menentukan ID organisasi untuk dibagikan dengan semua akun di organisasi. Pembagian sumber daya dapat menentukan ID unit organisasi (OU) untuk dibagikan dengan semua akun di OU tersebut. Akun berbagi hanya dapat dibagikan dengan organisasinya sendiri atau ID OU dalam organisasinya sendiri. Tentukan akun dalam suatu organisasi oleh ARN organisasi atau OU.
- Semua akun dalam suatu organisasiBerikut ini adalah contoh ARN dari sebuah organisasi diAWS Organizations:
  
  arn:aws:organizations::123456789012:organization/o-<orgid>
- Semua akun di unit organisasi— Berikut ini adalah contoh ARN dari ID OU:
  
  arn:aws:organizations::123456789012:organization/o-<orgid>/ou-<rootid>-<ouid>
penting
Ketika Anda berbagi dengan organisasi atau OU, dan cakupan itu mencakup akun yang memiliki pembagian sumber daya, semua kepala sekolah di akun berbagi secara otomatis mendapatkan akses ke sumber daya dalam pembagian. Akses yang diberikan ditentukan oleh izin terkelola yang terkait dengan pembagian. Hal ini dikarenakan kebijakan sumber daya yangAWS RAMmelekat pada setiap sumber daya dalam penggunaan berbagi"Principal": "*". Untuk informasi selengkapnya, lihat Implikasi penggunaan"Principal": "*"dalam kebijakan berbasis sumber daya.
Prinsipal di akun konsumsi lainnya tidak segera mendapatkan akses ke sumber daya saham. Administrator akun lain harus terlebih dahulu melampirkan kebijakan izin berbasis identitas ke kepala sekolah yang sesuai. Kebijakan tersebut harus memberikanAllowakses ke ARN sumber daya individu dalam pembagian sumber daya. Izin dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin terkelola yang terkait dengan pembagian sumber daya.

Kebijakan berbasis sumber daya

Kebijakan berbasis sumber daya adalah dokumen teks yang menerapkan bahasa kebijakan IAM. Tidak seperti kebijakan berbasis identitas yang Anda lampirkan ke prinsipal, seperti peran IAM atau pengguna, Anda lampirkan kebijakan berbasis sumber daya ke sumber daya.AWS RAMkebijakan berbasis sumber daya penulis atas nama Anda berdasarkan informasi yang Anda berikan untuk pembagian sumber daya Anda. Anda harus menentukanPrincipalelemen kebijakan yang menentukan siapa yang dapat mengakses sumber daya. Untuk informasi selengkapnya, lihatKebijakan berbasis identitas dan kebijakan berbasis sumber dayadiPanduan Pengguna IAM.

Kebijakan berbasis sumber daya yang dihasilkan olehAWS RAMdievaluasi bersama dengan semua jenis kebijakan IAM lainnya. Ini termasuk kebijakan berbasis identitas IAM yang dilampirkan pada prinsipal yang mencoba mengakses sumber daya, dan kebijakan kontrol layanan (SCP) untukAWS Organizationsyang mungkin berlaku untukAkun AWS. Kebijakan berbasis sumber daya yang dihasilkan olehAWS RAMberpartisipasi dalam logika evaluasi kebijakan yang sama seperti semua kebijakan IAM lainnya. Untuk detail lengkap evaluasi kebijakan dan cara menentukan izin yang dihasilkan, lihatLogika evaluasi kebijakandiPanduan Pengguna IAM.

AWS RAMmemberikan pengalaman berbagi sumber daya yang sederhana dan aman dengan menyediakan easy-to-use kebijakan berbasis sumber daya.

Untuk tipe sumber daya yang mendukung kebijakan berbasis sumber daya,AWS RAMsecara otomatis membangun dan mengelola kebijakan berbasis sumber daya untuk Anda. Untuk sumber daya tertentu,AWS RAMmembangun kebijakan berbasis sumber daya dengan menggabungkan informasi dari semua pembagian sumber daya yang mencakup sumber daya tersebut. Misalnya, pertimbangkan Amazon SageMaker pipeline yang Anda bagikan dengan menggunakanAWS RAMdan termasuk dalam dua pembagian sumber daya yang berbeda. Anda dapat menggunakan satu pembagian sumber daya untuk menyediakan akses hanya-baca ke seluruh organisasi Anda. Anda kemudian dapat menggunakan pembagian sumber daya lainnya hanya untuk memberikan SageMaker izin eksekusi untuk satu akun.AWS RAMsecara otomatis menggabungkan dua set izin yang berbeda ke dalam kebijakan sumber daya tunggal dengan beberapa pernyataan. Ini kemudian melampirkan kebijakan berbasis sumber daya ke sumber daya pipa. Anda dapat melihat kebijakan sumber daya dasar ini dengan memanggilGetResourcePolicyoperasi.Layanan AWSkemudian gunakan kebijakan berbasis sumber daya tersebut untuk memberi wewenang kepada prinsipal mana pun yang mencoba melakukan tindakan pada sumber daya bersama.

Meskipun Anda dapat membuat kebijakan berbasis sumber daya secara manual dan melampirkannya ke sumber daya Anda dengan meneleponPutResourcePolicy, kami sarankan Anda menggunakanAWS RAMkarena memberikan keuntungan sebagai berikut:

Dapat ditemukan untuk konsumen saham— Jika Anda berbagi sumber daya dengan menggunakanAWS RAM, pengguna dapat melihat semua sumber daya yang dibagikan dengan mereka secara langsung di konsol layanan yang memiliki sumber daya dan operasi API seolah-olah sumber daya tersebut langsung ada di akun pengguna. Misalnya, jika Anda berbagiAWS CodeBuildproyek dengan akun lain, pengguna di akun konsumsi dapat melihat proyek di CodeBuild konsol dan dalam hasil CodeBuild Operasi API dilakukan. Sumber daya yang dibagikan dengan langsung ke kebijakan berbasis sumber daya tidak terlihat seperti ini. Sebaliknya, Anda harus menemukan dan secara eksplisit merujuk ke sumber daya oleh ARN-nya.
Pengelolaan untuk pemilik saham— Jika Anda berbagi sumber daya dengan menggunakanAWS RAM, pemilik sumber daya di akun berbagi dapat secara terpusat melihat akun lain mana yang memiliki akses ke sumber daya mereka. Jika Anda berbagi sumber daya menggunakan kebijakan berbasis sumber daya, Anda dapat melihat akun pengguna hanya dengan memeriksa kebijakan untuk sumber daya individual di konsol layanan atau API yang relevan.
Efisiensi— Jika Anda berbagi sumber daya dengan menggunakanAWS RAM, Anda dapat berbagi banyak sumber daya dan mengelolanya sebagai satu unit. Sumber daya yang dibagikan hanya dengan menggunakan kebijakan berbasis sumber daya memerlukan kebijakan individual yang dilampirkan ke setiap sumber daya yang Anda bagikan.
Kesederhanaan— DenganAWS RAM, Anda tidak perlu memahami bahasa kebijakan IAM berbasis JSON.AWS RAMmemberi ready-to-use AWSizin terkelola yang dapat Anda pilih untuk dilampirkan ke pembagian sumber daya Anda.

Dengan menggunakanAWS RAM, Anda bahkan dapat membagikan beberapa jenis sumber daya yang belum mendukung kebijakan berbasis sumber daya. Untuk jenis sumber daya seperti itu,AWS RAMsecara otomatis menghasilkan kebijakan berbasis sumber daya sebagai representasi dari izin aktual. Pengguna dapat melihat representasi ini dengan memanggilGetResourcePolicy. Ini termasuk jenis sumber daya berikut:

Amazon Aurora - kluster DB
Amazon EC2 — reservasi kapasitas dan host khusus
AWS License Manager- Konfigurasi lisensi
AWS Outposts— Tabel rute gateway lokal, pos terdepan, dan situs
Amazon Route 53 - Aturan penerusan
Amazon Virtual Private Cloud — Alamat IPv4 milik pelanggan, daftar awalan, subnet, target cermin lalu lintas, gateway transit, dan domain multicast gateway transit

Contoh dariAWS RAMkebijakan berbasis sumber daya yang dihasilkan

Jika Anda berbagi sumber daya gambar EC2 Image Builder dengan seorang individuakun,AWS RAMmenghasilkan kebijakan yang terlihat seperti contoh berikut dan melampirkannya ke sumber daya gambar apa pun yang disertakan dalam pembagian sumber daya.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}

Jika Anda berbagi sumber daya gambar EC2 Image Builder denganPeran IAM atau penggunadalam yang berbedaAkun AWS,AWS RAMmenghasilkan kebijakan yang terlihat seperti contoh berikut dan melampirkannya ke sumber daya gambar apa pun yang disertakan dalam pembagian sumber daya.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MySampleRole"
      },
      "Action": [
          "imagebuilder:GetImage",
          "imagebuilder:ListImages",
      ],
      "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
    }
  ]
}

Jika Anda berbagi sumber daya gambar EC2 Image Builder dengan semua akun di organisasi atau dengan akun OU,AWS RAMmenghasilkan kebijakan yang terlihat seperti contoh berikut dan melampirkannya ke sumber daya gambar apa pun yang disertakan dalam pembagian sumber daya.

catatan

Kebijakan ini menggunakan"Principal": "*"dan kemudian menggunakan"Condition"elemen untuk membatasi izin ke identitas yang cocok dengan yang ditentukanPrincipalOrgID. Untuk informasi selengkapnya, lihat Implikasi penggunaan"Principal": "*"dalam kebijakan berbasis sumber daya.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-123456789"
                }
            }
        }
    ]
}

Implikasi penggunaan"Principal": "*"dalam kebijakan berbasis sumber daya

Saat Anda memasukkan"Principal": "*"dalam kebijakan berbasis sumber daya, kebijakan memberikan akses ke semua prinsipal IAM di akun yang berisi sumber daya, tunduk pada batasan apa pun yang diberlakukan olehConditionelemen, jika ada. EksplisitDenypernyataan dalam kebijakan apa pun yang berlaku untuk prinsipal panggilan mengesampingkan izin yang diberikan oleh kebijakan ini. Namun, sebuahimplisit Deny(yang berarti kurangnyaeksplisit Allow) dalam setiap kebijakan identitas yang berlaku, kebijakan batas izin, atau kebijakan sesitidakmenghasilkanDenykepada kepala sekolah yang diberikan akses ke suatu tindakan oleh kebijakan berbasis sumber daya tersebut.

Jika perilaku ini tidak diinginkan untuk skenario Anda, maka Anda dapat membatasi perilaku ini dengan menambahkaneksplisit Denypernyataan terhadap kebijakan identitas, batas izin, atau kebijakan sesi yang memengaruhi peran dan pengguna yang relevan.

Izin terkelola

Izin terkelola menentukan tindakan apa yang dapat dilakukan oleh prinsipal dalam kondisi apa pada jenis sumber daya yang didukung dalam pembagian sumber daya. Saat membuat pembagian sumber daya, Anda harus menentukan izin terkelola mana yang akan digunakan untuk setiap jenis sumber daya yang disertakan dalam pembagian sumber daya. Izin terkelola mencantumkan kumpulanactionsdankondisibahwa kepala sekolah dapat melakukan dengan sumber daya yang dibagikan menggunakanAWS RAM.

Anda hanya dapat melampirkan satu perizinan untuk setiap jenis sumber daya dalam pembagian sumber. Anda tidak dapat membuat pembagian sumber daya di mana beberapa sumber daya dari jenis tertentu menggunakan satu izin terkelola dan sumber daya lain dari jenis yang sama menggunakan izin terkelola yang berbeda. Untuk melakukan itu, Anda perlu membuat dua pembagian sumber daya yang berbeda dan membagi sumber daya di antara mereka, memberikan setiap set izin terkelola yang berbeda. Ada dua jenis izin terkelola:

AWSizin terkelola

AWSizin terkelola dibuat dan dikelola olehAWSdan memberikan izin untuk skenario pelanggan umum.AWS RAMmendefinisikan setidaknya satuAWSizin terkelola untuk setiap jenis sumber daya yang didukung. Beberapa jenis sumber daya mendukung lebih dari satuAWSizin terkelola, dengan satu izin terkelola yang ditetapkan sebagaiAWSdefault. ThedefaultAWSizin terkeloladikaitkan kecuali Anda menentukan sebaliknya.

Izin yang dikelola pelanggan

Izin terkelola pelanggan adalah izin terkelola yang Anda buat dan pertahankan dengan menentukan secara tepat tindakan mana yang dapat dilakukan dalam kondisi mana dengan sumber daya yang dibagikan menggunakanAWS RAM. Misalnya, Anda ingin membatasi akses baca untuk kumpulan Amazon VPC IP Address Manager (IPAM), yang membantu Anda mengelola alamat IP Anda dalam skala besar. Anda dapat membuat izin terkelola pelanggan bagi pengembang Anda untuk menetapkan alamat IP, tetapi tidak melihat rentang alamat IP yang ditetapkan akun pengembang lain. Anda dapat mengikuti praktik terbaik dengan hak istimewa paling sedikit, hanya memberikan izin yang diperlukan untuk melakukan tugas pada sumber daya bersama.

Anda menentukan izin Anda sendiri untuk jenis sumber daya dalam berbagi sumber daya dengan opsi untuk menambahkan kondisi sepertiKunci Konteks Globaldankunci khusus layananuntuk menentukan kondisi di mana kepala sekolah memiliki akses ke sumber daya. Izin ini dapat digunakan dalam satu atau lebihAWS RAMsaham. Izin yang dikelola pelanggan adalah wilayah tertentu.

AWS RAMmengambil izin terkelola sebagai masukan untuk membuatkebijakan berbasis sumber dayauntuk sumber daya yang Anda bagikan.

Versi izin terkelola

Setiap perubahan pada izin terkelola direpresentasikan sebagai versi baru dari izin terkelola tersebut. Versi baru adalah default untuk semua pembagian sumber daya baru. Setiap izin terkelola selalu memiliki satu versi yang ditetapkan sebagai versi default. Ketika Anda atauAWSmembuat versi izin terkelola baru, Anda harus secara eksplisit memperbarui izin terkelola untuk setiap pembagian sumber daya yang ada. Anda dapat mengevaluasi perubahan sebelum menerapkannya ke bagian sumber daya Anda di langkah ini. Semua pembagian sumber daya baru akan secara otomatis menggunakan versi baru dari izin terkelola untuk jenis sumber daya yang sesuai.

AWSversi izin terkelola: AWSmenangani semua perubahanAWSizin terkelola. Perubahan tersebut mengatasi fungsionalitas baru atau menghapus kekurangan yang ditemukan. Anda hanya dapat menerapkan versi izin terkelola default ke pembagian sumber daya Anda.
Versi izin yang dikelola pelanggan: Anda menangani semua perubahan pada izin terkelola pelanggan. Anda dapat membuat versi default baru, menetapkan versi yang lebih lama sebagai default, atau menghapus versi yang tidak lagi terkait dengan pembagian sumber daya apa pun. Setiap perizinan yang dikelola pelanggan dapat memiliki hingga lima versi.

Saat membuat atau memperbarui pembagian sumber daya, Anda hanya dapat melampirkan versi default dari izin terkelola yang ditentukan. Untuk informasi selengkapnya, lihat Memperbarui izinAWS terkelola ke versi yang lebih baru.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mulai

Berbagi sumber daya Anda