O que é o AWS Resource Access Manager? - AWS Resource Access Manager
Visões gerais do vídeoBenefícios do AWS RAMComo funciona o compartilhamento de recursosComo acessar o AWS RAMDefinição de preços do AWS RAMConformidade e padrões internacionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que é o AWS Resource Access Manager?

AWS Resource Access Manager (AWS RAM) ajuda você a compartilhar com segurança seus recursos Contas da AWS dentro de sua organização ou unidades organizacionais (OUs) e com AWS Identity and Access Management funções e usuários (IAM) para tipos de recursos compatíveis. Se você tiver vários Contas da AWS, poderá criar um recurso uma vez e usá-lo AWS RAM para torná-lo utilizável por essas outras contas.​ Se sua conta for gerenciada por AWS Organizations, você poderá compartilhar recursos com todas as outras contas da organização ou somente com as contas contidas em uma ou mais unidades organizacionais (OUs) especificadas. Você também pode compartilhar com um ID Contas da AWS de conta específico, independentemente de a conta fazer parte de uma organização. Alguns tipos de recursos compatíveis também permitem compartilhá-los com funções e usuários especificados do IAM.

Visões gerais do vídeo

O vídeo a seguir fornece uma breve introdução AWS RAM e descreve como criar um compartilhamento de recurso. Para obter mais informações, consulte Criar um compartilhamento de recursos AWS RAM.

O vídeo a seguir demonstra como aplicar permissões AWS gerenciadas aos seus AWS recursos. Para obter mais informações, consulte Gerenciando permissões em AWS RAM.

Este vídeo demonstra como criar e associar permissões gerenciadas pelo cliente seguindo as práticas recomendadas de privilégio mínimo. Para obter mais informações, consulte, Criação e uso de permissões gerenciadas pelo cliente no AWS RAM.

Benefícios do AWS RAM

Por que usar o AWS RAM? Oferece os seguintes benefícios:

  • Reduz sua sobrecarga operacional — Crie um recurso uma vez e use-o AWS RAM para compartilhar esse recurso com outras contas. Isso elimina a necessidade de provisionar recursos duplicados em todas as contas, o que reduz a sobrecarga operacional. Dentro da conta proprietária do recurso, AWS RAM simplifica a concessão de acesso a todas as funções e usuários dessa conta sem precisar usar políticas de permissão baseadas em identidade.

  • Fornece segurança e consistência — Simplifique o gerenciamento da segurança de seus recursos compartilhados usando um único conjunto de políticas e permissões. Se, em vez disso, você criasse recursos duplicados em todas as suas contas separadas, teria a tarefa de implementar políticas e permissões idênticas e, em seguida, mantê-las idênticas em todas essas contas. Em vez disso, todos os usuários de um compartilhamento de AWS RAM recursos são gerenciados por um único conjunto de políticas e permissões. AWS RAM oferece uma experiência consistente para compartilhar diferentes tipos de AWS recursos.

  • Fornece visibilidade e auditabilidade - Visualize detalhes de uso para recursos compartilhados por meio da integração ao AWS RAM com o Amazon CloudWatch e AWS CloudTrail AWS RAM fornece visibilidade abrangente de contas e recursos compartilhados.

E quanto ao acesso entre contas com políticas baseadas em recursos?

Você pode compartilhar alguns tipos de AWS recursos com outras pessoas Contas da AWS anexando uma política baseada em recursos que identifica AWS Identity and Access Management entidades principais (IAM) (funções e usuários do IAM) fora da sua Conta da AWS. No entanto, compartilhar um recurso anexando uma política não tira proveito dos benefícios adicionais que ela AWS RAM oferece. Ao usar, AWS RAM você obtém os seguintes recursos:

  • Você pode compartilhar com uma organização ou uma unidade organizacional (UO) sem precisar enumerar cada uma das Conta da AWS IDs.

  • Os usuários podem ver os recursos compartilhados com eles diretamente no AWS service (Serviço da AWS) console de origem e nas operações da API, como se esses recursos estivessem diretamente na conta do usuário. Por exemplo, se você costuma AWS RAM compartilhar uma sub-rede da Amazon VPC com outra conta, os usuários dessa conta podem ver a sub-rede no console da Amazon VPC e nos resultados das operações da API da Amazon VPC realizadas nessa conta. Os recursos compartilhados ao anexar uma política baseada em recursos não são visíveis dessa forma; em vez disso, você precisa descobrir e se referir explicitamente ao recurso pelo nome de recurso da Amazon (ARN).

  • Os proprietários de um recurso podem ver quais entidades principais têm acesso a cada recurso individual que eles compartilharam.

  • Se você compartilha recursos com uma conta que não faz parte da sua organização, AWS RAM inicia um processo de convite. O destinatário deve aceitar o convite antes que a entidade principal possa acessar os recursos compartilhados. Depois de ativar a capacidade de compartilhar dentro da sua organização, o compartilhamento com contas na organização não exige convites.

Se você tiver recursos compartilhados usando uma política de permissão baseada em recursos, poderá promovê-los a recursos totalmente AWS RAM gerenciados fazendo o seguinte:

Como funciona o compartilhamento de recursos

Quando você compartilha um recurso na conta proprietária com outra Conta da AWS, a conta consumidora, você está concedendo acesso às entidades principais da conta consumidora ao recurso compartilhado. Quaisquer políticas e permissões aplicáveis a funções e usuários na conta de consumo também se aplicam ao recurso compartilhado. Os recursos no compartilhamento parecem recursos nativos no local com o Contas da AWS qual você os compartilhou.

Você pode compartilhar recursos globais e regionais. Para obter mais informações, consulte Compartilhamento de recursos regionais em comparação com recursos globais.

Compartilhar seus recursos

Com o AWS RAM, você compartilha recursos que possui criando um compartilhamento de recursos. Para criar um compartilhamento de recurso, especifique o seguinte:

  • O Região da AWS no qual você deseja criar o compartilhamento de recurso. No console, escolha a região na lista suspensa no canto superior direito do console. No AWS CLI, você usa o --region parâmetro.

    • Um compartilhamento de recurso pode conter somente recursos regionais que estão no mesmo que Região da AWS o compartilhamento de recurso.

    • Um compartilhamento de recursos pode conter recursos globais somente se o compartilhamento de recursos estiver na região de origem designada para recursos globais, Leste dos EUA (Norte da Virgínia) us-east-1.

  • Um nome para o compartilhamento de recursos.

  • A lista de recursos aos quais você deseja conceder acesso como parte desse compartilhamento de recursos.

  • As entidades principais às quais você concede acesso ao compartilhamento de recurso. As entidades principais podem ser individuais Contas da AWS, as contas em uma organização ou unidade organizacional (OU) em AWS Organizations ou AWS Identity and Access Management funções (IAM) ou usuários individuais.

    nota

    Nem todos os tipos de recursos podem ser compartilhados com perfis e usuários do IAM. Para obter inform ações sobre os recursos que você pode compartilhar com essas entidades principais, consulte Recursos compartilháveis AWS.

  • Uma permissão gerenciada para associar a cada tipo de recurso incluído em um compartilhamento de recursos. A permissão gerenciada determina o que as entidades principais das outras contas podem fazer com os recursos no compartilhamento de recursos.

    O comportamento da permissão depende do tipo de entidade principal:

    • Se a entidade principal estiver em uma conta diferente daquela que possui o recurso, as permissões anexadas ao compartilhamento de recursos são as permissões máximas disponíveis para serem concedidas a funções e usuários nessas contas. O administrador dessas contas deve então conceder aos papéis individuais e aos usuários acesso ao recurso compartilhado com políticas baseadas em identidade do IAM. As permissões concedidas nessas políticas não podem exceder as definidas nas permissões anexadas ao compartilhamento de recursos.

A conta proprietária do recurso mantém a propriedade total dos recursos que ela compartilha.

Uso dos recursos compartilhados

Quando o proprietário de um recurso o compartilha com sua conta, você pode acessar o recurso compartilhado como faria se ele pertencesse à sua conta. Você pode acessar o recurso usando o console, os AWS CLI comandos e as operações de API do serviço relevante. As operações de API que as entidades principais da sua conta podem realizar variam de acordo com o tipo de recurso e são especificadas pela AWS RAM permissão anexada ao compartilhamento de recursos. Todas as políticas do IAM e as políticas de controle de serviço configuradas em sua conta se aplicam, o que permite utilizar os investimentos existentes em controles de governança e segurança.

Quando você acessa um recurso compartilhado usando o serviço desse recurso, você tem as mesmas habilidades e limitações do Conta da AWS proprietário do recurso.

  • Se o recurso for regional, você poderá acessá-lo somente a partir do local Região da AWS em que ele existe na conta proprietária.

  • Se o recurso for global, você poderá acessá-lo de qualquer um Região da AWS que o console de serviço e as ferramentas do recurso suportem. Você pode visualizar esses compartilhamentos de recursos e seus recursos globais no AWS RAM console e nas ferramentas somente na região de origem designada, Leste dos EUA (Norte da Virgínia) us-east-1.

Como acessar o AWS RAM

Você pode trabalhar com o AWS RAM de qualquer uma das seguintes formas:

Console do AWS RAM

O AWS RAM fornece uma interface de usuário na web, o console do AWS RAM. Após se cadastrar em uma conta da Conta da AWS, você poderá acessar o console do AWS RAM fazendo login no AWS Management Console e selecionando o AWS RAM na página inicial do console.

Você também pode navegar no seu navegador diretamente para o AWS RAMconsole. Se você ainda não fez login, será pedido que faça isso antes que o console seja exibido.

AWS CLI e ferramentas para o Windows PowerShell

O AWS CLI e AWS Tools for PowerShell fornece acesso direto às operações AWS RAM públicas da API. AWS suporta essas ferramentas em Windows, macOS e Linux. Para obter mais informações sobre os conceitos básicos, consulte o AWS Command Line InterfaceGuia do usuário ou o AWS Tools for Windows PowerShellGuia do usuário. Para obter mais informações sobre os comandos do AWS RAM, consulte a AWS CLI Referência de Comando ou a AWS Tools for Windows PowerShell Referência de Cmdlet.

AWS SDKs

A AWS fornece comandos de API para um amplo conjunto de linguagens de programação. Para obter informações sobre os SDKs , consulte o AWS Guia de referência de SDKs e ferramentas.

API de consulta

Se você não usa uma das linguagens de programação suportadas, a API de consulta AWS RAM HTTPS fornece acesso programático a AWS RAM e AWS. A API do AWS RAM permite emitir solicitações HTTPS diretamente para o serviço. Quando você usa a API do AWS RAM, deve incluir código para assinar digitalmente solicitações usando suas credenciais. Para obter mais informações, consulte a Referência da API do AWS RAM.

Definição de preços do AWS RAM

Não há encargos adicionais para a criação de AWS RAM e o compartilhamento de recursos entre contas. As cobranças de uso de recursos variam de acordo com o tipo de recurso. Para obter mais informações sobre como AWS faturar recursos compartilháveis, consulte a documentação do serviço de propriedade do recurso.

Conformidade e padrões internacionais

PCI DSS

AWS RAM suporta o processamento, armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços e foi validado como compatível com o Payment Card Industry (PCI) Data Security Standard (DSS).

Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com o PCI da AWS, consulte Nível 1 do PCI DSS.

FedRAMP

AWS RAM está autorizado como FedRAMP Moderate nas seguintes Regiões da AWS: Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Norte da Califórnia) e Oeste dos EUA (Oregon).

AWS RAM está autorizado como FedRAMP High nas seguintes Regiões da AWS: AWS GovCloud (EUA-Leste) e AWS GovCloud (Leste dos EUA).

O Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de autorização e risco) é um programa do governo dos EUA que disponibiliza uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem.

Para obter mais informações sobre conformidade com FedRAMP, consulte FedRAMP.

SOC e ISO

AWS RAM pode ser usado para cargas de trabalho sujeitas à conformidade com o Service Organization Control (SOC) e com os padrões ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701 da Organização Internacional de Padronização (ISO). Clientes de finanças, saúde e outros setores regulamentados podem obter informações sobre os processos e controles de segurança que protegem os dados dos clientes, que podem ser encontrados nos relatórios do SOC e nos certificados AWS ISO e CSA STAR em AWS Artifact.

Para obter mais informações sobre a conformidade do SOC SOC.

Para obter mais informações sobre a conformidade com a ISO, consulte ISO 9001, ISO 27001, ISO 27017 ISO 27018 e ISO 27701.