Condivisione delle risorse Account di condivisione Principi di consumo Policy basata su risorse Autorizzazioni gestite Versione con autorizzazione gestita

Termini e concetti perAWS RAM

I seguenti concetti aiutano a spiegare come è possibile utilizzareAWS Resource Access Manager(AWS RAM) per condividere le tue risorse.

Condividete le risorse utilizzandoAWS RAMcreandocondivisione delle risorse. Una condivisione di risorse è composta dai tre elementi seguenti:

Elenco di uno o piùAWSrisorse da condividere.
Elenco di uno o piùpresidia chi è concesso l'accesso alle risorse.
UNautorizzazione gestitaper ogni tipo di risorsa inclusa nella condivisione. Ogni autorizzazione gestita si applica a tutte le risorse di quel tipo in quella condivisione di risorse.

Dopo l'usoAWS RAMper creare una condivisione di risorse, ai principali specificati nella condivisione di risorse può essere concesso l'accesso alle risorse della condivisione.

Se si accendeAWS RAMcondivisione conAWS Organizationse gli amministratori con cui condividi la condivisione fanno parte della stessa organizzazione dell'account di condivisione, i responsabili possono ricevere l'accesso non appena l'amministratore dell'account concede loro l'autorizzazione a utilizzare le risorse utilizzando unAWS Identity and Access Managementpolitica di autorizzazione (IAM).
Se non si accendeAWS RAMcondividendo con Organizations, puoi comunque condividere le risorse con singoliAccount AWSche fanno parte della tua organizzazione. L'amministratore dell'account di consumo riceve un invito a partecipare alla condivisione di risorse e deve accettare l'invito prima che i responsabili specificati nella condivisione delle risorse possano accedere alle risorse condivise.
Puoi anche condividere con account esterni alla tua organizzazione, se il tipo di risorsa lo supporta. L'amministratore dell'account consumatore riceve un invito a partecipare alla condivisione di risorse e deve accettare l'invito prima che i responsabili specificati nella condivisione delle risorse possano accedere alle risorse condivise. Per informazioni sui tipi di risorse che supportano questo tipo di condivisione, vedereRisorse condivisibili AWSe visualizzaPuò condividere con account esterni alla propria organizzazionecolonna.

Ilaccount di condivisionecontiene la risorsa condivisa e in cuiAWS RAMamministratore creaAWScondivisione di risorse utilizzandoAWS RAM.

UnAWS RAMl'amministratore è un dirigente IAM che dispone delle autorizzazioni per creare e configurare condivisioni di risorse inAccount AWS. PerchéAWS RAMfunziona collegando una policy basata su risorse alle risorse in una condivisione di risorse, laAWS RAMl'amministratore deve inoltre disporre delle autorizzazioni per chiamarePutResourcePolicyoperazione nelServizio AWSper ogni tipo di risorsa incluso in una condivisione di risorse.

Principi di consumo

Ilconto di consumoè ilAccount AWScon cui viene condivisa una risorsa. La condivisione di risorse può specificare un intero account come principale o, per alcuni tipi di risorse, singoli ruoli o utenti dell'account. Per informazioni sui tipi di risorse che supportano questo tipo di condivisione, vedereRisorse condivisibili AWSe visualizzaPuò condividere con ruoli e utenti IAMcolonna.

AWS RAMsupporta anche i responsabili dei servizi in quanto consumatori di condivisioni di risorse. Per informazioni sui tipi di risorse che supportano questo tipo di condivisione, vedereRisorse condivisibili AWSe visualizzaPuò condividere con i responsabili del serviziocolonna.

I responsabili del conto di consumo possono eseguire solo le azioni consentite datutti e duedelle seguenti autorizzazioni:

Le autorizzazioni gestite allegate alla condivisione delle risorse. Questi specificanomassimoautorizzazioni che possono essere concesse ai responsabili dell'account di consumo.
Le policy basate sull'identità IAM associate ai singoli ruoli o utenti dall'amministratore IAM nell'account utente. Queste politiche devono garantireAllowaccesso ad azioni specifiche e alAmazon Resource Name (ARN)di una risorsa nell'account di condivisione.

AWS RAMsupporta i seguenti tipi principali di IAM come consumatori di condivisioni di risorse:

Un altroAccount AWS— La condivisione delle risorse rende le risorse incluse nell'account di condivisione disponibili all'account consumatore.
Ruoli o utenti IAM individuali in un altro account— Alcuni tipi di risorse supportano la condivisione diretta con singoli ruoli o utenti IAM. Specificazione del tipo principale in base al relativo ARN.
- Ruolo IAM—arn:aws:iam::123456789012:role/rolename
- Utente IAM—arn:aws:iam::123456789012:user/username
Servizio principale— Condivisione di risorsa conAWSservizio per concedere al servizio l'accesso a una condivisione di risorse. La condivisione principale del servizio consente unAWSservizio che consente di intraprendere azioni per conto dell'utente per alleggerire l'onere operativo.

Per condividerla con un responsabile del servizio, scegli di consentire la condivisione con chiunque, quindi, sottoSeleziona tipo principale, scegliServizio principaledall'elenco a discesa. Specificare il nome del responsabile del servizio nel seguente formato:
- service-id.amazonaws.com
Per ridurre il rischio di confusione, la politica delle risorse mostra l'ID dell'account del proprietario della risorsa nelaws:SourceAccountchiave condizione.
Account in un'organizzazione— Se l'account di condivisione è gestito daAWS Organizations, quindi la condivisione delle risorse può specificare l'ID dell'organizzazione da condividere con tutti gli account dell'organizzazione. La condivisione di risorse può in alternativa specificare un ID di unità organizzativa (OU) da condividere con tutti gli account di quell'unità organizzativa. Un account di condivisione può condividere solo con la propria organizzazione o gli ID OU all'interno della propria organizzazione. Specificare gli account di un'organizzazione in base all'ARN dell'organizzazione o all'unità organizzativa.
- Tutti gli account di un'organizzazione— Di seguito è riportato un esempio di ARN di un'organizzazione inAWS Organizations:
  
  arn:aws:organizations::123456789012:organization/o-<orgid>
- Tutti gli account di un'unità organizzativa— Di seguito è riportato un esempio di ARN di un ID OU:
  
  arn:aws:organizations::123456789012:organization/o-<orgid>/ou-<rootid>-<ouid>
Importante
Quando si condivide con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Questo perché la politica basata sulle risorseAWS RAMsi allega a ciascuna risorsa della condivisione utilizza"Principal": "*". Per ulteriori informazioni, consulta Implicazioni dell'uso"Principal": "*"in politica basata sulle risorse.
I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono concedereAllowaccesso agli ARN delle singole risorse nella condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.

Policy basata su risorse

Le policy basate su risorse sono documenti di testo JSON che implementano il linguaggio di policy IAM. A differenza delle policy basate su identità che si collegano al principale, come un ruolo o un utente IAM, si collegano policy basate su risorse alla risorsa.AWS RAMcrea politiche basate sulle risorse per tuo conto sulla base delle informazioni fornite per la condivisione delle risorse. È necessario specificarePrincipalelemento di policy che determina chi può accedere alla risorsa. Per ulteriori informazioni, consulta la paginaPolicy basate sulle identità e policy basate su risorsenelIAM User Guide.

Le politiche basate sulle risorse generate daAWS RAMvengono valutate insieme a tutti gli altri tipi di policy IAM. Ciò include tutte le policy basate sull'identità IAM associate ai responsabili che stanno tentando di accedere alla risorsa e le policy di controllo dei servizi (SCP) perAWS Organizationsciò potrebbe applicarsi aAccount AWS. Politiche basate sulle risorse generate daAWS RAMpartecipano alla stessa logica di valutazione delle politiche di tutte le altre politiche IAM. Per i dettagli completi sulla valutazione delle policy e su come determinare le autorizzazioni risultanti, consultaLogica di valutazione delle policynelIAM User Guide.

AWS RAMoffre un'esperienza di condivisione delle risorse semplice e sicura fornendo easy-to-use politiche di astrazione basate sulle risorse.

Per quei tipi di risorse che supportano policy basate su risorse,AWS RAMcostruisce e gestisce automaticamente le politiche basate sulle risorse per te. Per risorsa specifica,AWS RAMcrea la politica basata sulle risorse combinando le informazioni provenienti da tutte le condivisioni di risorse che includono quella risorsa. Ad esempio, considera Amazon SageMaker pipeline che condividi utilizzandoAWS RAMe includerla in due diverse condivisioni di risorse. È possibile utilizzare una condivisione di risorse per fornire l'accesso in sola lettura all'intera organizzazione. È quindi possibile utilizzare l'altra condivisione di risorse solo per concedere SageMaker autorizzazioni di esecuzione per un singolo account.AWS RAMcombina automaticamente questi due diversi set di autorizzazioni in un'unica politica delle risorse con più istruzioni. Quindi si collegano alla risorsa della pipeline la policy combinata basata su risorse. È possibile visualizzare questa politica di base in materia di risorse chiamando ilGetResourcePolicyoperazione.Servizi AWSutilizza quindi tale politica basata sulle risorse per autorizzare qualsiasi principale che tenti di eseguire un'azione sulla risorsa condivisa.

Tuttavia, è possibile creare manualmente le politiche basate sulle risorse e allegarle alle risorse chiamandoPutResourcePolicy, si consiglia di utilizzareAWS RAMperché offre i seguenti vantaggi:

Reperibilità per i consumatori di azioni— Se condividi risorse utilizzandoAWS RAM, gli utenti possono visualizzare tutte le risorse condivise con loro direttamente nella console del servizio proprietario della risorsa e nelle operazioni API come se tali risorse fossero direttamente nell'account dell'utente. Ad esempio, se condividi unAWS CodeBuildprogetto con un altro account, gli utenti dell'account consumatore possono vedere il progetto nella CodeBuild console e nei risultati di CodeBuild Operazioni API eseguite. Le risorse condivise allegando direttamente una policy basata sulle risorse non sono visibili in questo modo. È invece necessario scoprire e fare riferimento esplicitamente alla risorsa tramite il relativo ARN.
Gestibilità per i proprietari di azioni— Se condividi risorse utilizzandoAWS RAM, i proprietari delle risorse dell'account di condivisione possono vedere centralmente quali altri account hanno accesso alle proprie risorse. Se condividi una risorsa utilizzando una politica basata sulle risorse, puoi visualizzare gli account di consumo solo esaminando la politica per le singole risorse nella console di servizio o nell'API pertinente.
Efficienza— Se condividi risorse utilizzandoAWS RAM, è possibile condividere più risorse e gestirle come unità. Le risorse condivise utilizzando solo politiche basate sulle risorse richiedono politiche individuali allegate a ogni risorsa condivisa.
Semplicità— ConAWS RAM, non è necessario comprendere il linguaggio di policy IAM basato su JSON.AWS RAMfornisce ready-to-use AWSautorizzazioni gestite tra cui scegliere da allegare alle condivisioni di risorse.

UtilizzandoAWS RAM, puoi persino condividere alcuni tipi di risorse che non supportano ancora le politiche basate sulle risorse. Per questi tipi di risorse,AWS RAMgenera automaticamente una politica basata sulle risorse come rappresentazione delle autorizzazioni effettive. Gli utenti possono visualizzare questa rappresentazione chiamandoGetResourcePolicy. Sono inclusi i seguenti tipi di risorse:

Amazon Aurora — cluster DB
Amazon EC2: prenotazioni di capacità e host dedicati
AWS License Manager— Configurazione delle licenze
AWS Outposts— Tabelle di routing, avamposti e siti dei gateway locali
Amazon Route 53 — Regole di inoltro
Amazon Virtual Private Cloud: indirizzi IPv4 di proprietà del cliente, elenchi di prefissi, sottoreti, target Traffic Mirror, gateway di transito e domini multicast del gateway di transito

Esempi diAWS RAMpolitiche generate basate sulle risorse

Se condividi una risorsa di immagini EC2 Image Builder con una personaconto,AWS RAMgenera una policy simile all'esempio seguente e la allega a tutte le risorse di immagine incluse nella condivisione di risorse.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}

Se condividi risorsa EC2 Image Builder conUtente o ruolo IAMin modo diversoAccount AWS,AWS RAMgenera una policy simile all'esempio seguente e la allega a tutte le risorse di immagine incluse nella condivisione di risorse.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MySampleRole"
      },
      "Action": [
          "imagebuilder:GetImage",
          "imagebuilder:ListImages",
      ],
      "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
    }
  ]
}

Se condividi una risorsa immagine EC2 Image Builder con tutti gli account di un'organizzazione o con gli account di un'unità organizzativa,AWS RAMgenera una policy simile al seguente esempio e la allega a tutte le risorse di immagine incluse nella condivisione delle risorse.

Nota

Questa politica utilizza"Principal": "*"e quindi utilizza il"Condition"elemento per limitare le autorizzazioni alle identità che corrispondono a quelle specificatePrincipalOrgID. Per ulteriori informazioni, consulta Implicazioni dell'uso"Principal": "*"in politica basata sulle risorse.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-123456789"
                }
            }
        }
    ]
}

Implicazioni dell'uso"Principal": "*"in politica basata sulle risorse

Quando includi"Principal": "*"in una policy basata sulle risorse, la policy concede l'accesso a tutti i principali IAM dell'account che contiene la risorsa, fatte salve le restrizioni imposte da unConditionelemento, se esiste. EsplicitoDenyle dichiarazioni contenute in qualsiasi politica che si applica al principale chiamante hanno la precedenza sulle autorizzazioni concesse da questa politica. Tuttavia, unimplicito Deny(significa la mancanza di unesplicito Allow) in qualsiasi politica di identità, politica dei limiti delle autorizzazioni o politica di sessione applicabilenonrisultato come risultatoDenyai mandanti a cui è stato concesso l'accesso a un'azione da tale politica basata su risorse.

Se questo comportamento non è auspicabile per il tuo scenario, puoi limitarlo aggiungendo unesplicito Denydichiarazione relativa a una politica di identità, a un limite di autorizzazioni o a una politica di sessione che influisce sui ruoli e sugli utenti pertinenti.

Autorizzazioni gestite

Le autorizzazioni gestite definiscono quali azioni possono eseguire i responsabili in quali condizioni sui tipi di risorse supportati in una condivisione di risorse. Quando si crea una condivisione di risorse, è necessario specificare quale autorizzazione gestita utilizzare per ogni tipo di risorsa incluso nella condivisione di risorse. Un'autorizzazione gestita elenca il set diactionsecondizioniche i dirigenti possono eseguire con la risorsa condivisa utilizzandoAWS RAM.

È possibile allegare una sola autorizzazione gestita per ogni tipo di risorsa in una condivisione di risorse. Non è possibile creare una condivisione di risorse in cui alcune risorse di un determinato tipo utilizzano un'autorizzazione gestita e altre risorse dello stesso tipo utilizzano un'autorizzazione gestita diversa. A tale scopo, è necessario creare due diverse condivisioni di risorse e suddividere le risorse tra di esse, assegnando a ciascun set un'autorizzazione gestita diversa. Esistono due tipi diversi di autorizzazioni gestite:

AWSautorizzazioni gestite

AWSle autorizzazioni gestite vengono create e gestite daAWSe concedi le autorizzazioni per gli scenari comuni dei clienti.AWS RAMne definisce almeno unoAWSautorizzazione gestita per ogni tipo di risorsa supportato. Alcuni tipi di risorse ne supportano più di unoAWSautorizzazione gestita, con un'autorizzazione gestita designata comeAWSimpostazione predefinita. LapredefinitoAWSautorizzazione gestitaè associata a meno che non sia specificato diversamente.

Autorizzazioni gestite dal cliente

Le autorizzazioni gestite dai clienti sono autorizzazioni gestite che puoi creare e gestire specificando con precisione quali azioni possono essere eseguite in quali condizioni con risorse condivise utilizzandoAWS RAM. Ad esempio, desideri limitare l'accesso in lettura per i tuoi pool di Amazon VPC IP Address Manager (IPAM), che ti aiutano a gestire i tuoi indirizzi IP su larga scala. Puoi creare autorizzazioni gestite dai clienti per consentire ai tuoi sviluppatori di assegnare indirizzi IP, ma non visualizzare l'intervallo di indirizzi IP assegnati da altri account sviluppatore. È possibile seguire la best practice del privilegio minimo, che si collegano solo alle autorizzazione necessarie per eseguire attività su risorse condivise.

L'utente definisce le proprie autorizzazioni per un tipo di risorsa in una condivisione di risorse con la possibilità di aggiungere condizioni qualiChiavi contestuali globaliechiavi specifiche del servizioper specificare le condizioni in base alle quali i mandanti hanno accesso alla risorsa. Queste autorizzazioni possono essere utilizzate in una o piùAWS RAMazioni. Le autorizzazioni gestite dai clienti sono specifiche per regione.

AWS RAMaccetta le autorizzazioni gestite come input per creare ilpolitiche basate sulle risorseper le risorse che condividi.

Versione con autorizzazione gestita

Qualsiasi modifica a un'autorizzazione gestita viene rappresentata come una nuova versione di tale autorizzazione gestita. La nuova versione è l'impostazione predefinita per tutte le nuove condivisioni di risorse. Ogni autorizzazione gestita ha sempre una versione designata come versione predefinita. Quando tu oAWScrea una nuova versione di autorizzazione gestita, è necessario aggiornare in modo esplicito l'autorizzazione gestita per ogni condivisione di risorse esistente. In questo passaggio puoi valutare le modifiche prima di applicarle alla tua condivisione di risorse. Tutte le nuove condivisioni di risorse utilizzeranno automaticamente la nuova versione dell'autorizzazione gestita per il tipo di risorsa corrispondente.

AWSversioni con autorizzazione gestita: AWSgestisce tutte le modifiche aAWSautorizzazioni gestite. Tali modifiche risolvono nuove funzionalità o eliminano le carenze rilevate. Puoi applicare solo la versione di autorizzazione gestita predefinita alle tue condivisioni di risorse.
Versioni con autorizzazione gestita dal cliente: Gestisci tutte le modifiche alle autorizzazioni gestite dai clienti. Puoi creare una nuova versione predefinita, impostare una versione precedente come predefinita o eliminare versioni che non sono più associate a nessuna condivisione di risorse. Ogni autorizzazione gestita da un cliente può avere fino a cinque versioni.

Quando crei o aggiorni una condivisione di risorse, puoi allegare solo la versione predefinita dell'autorizzazione gestita specificata. Per ulteriori informazioni, consulta Aggiornamento delle autorizzazioniAWS gestite a una versione più recentissima.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Nozioni di base

Condivisione delle tue risorse