O que é o AWS Resource Access Manager? - AWS Resource Access Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que é o AWS Resource Access Manager?

AWS Resource Access Manager(AWS RAM) ajuda você a compartilhar com segurança osAWS recursos que você cria em um só lugarConta da AWS com todas as funções e usuários na mesma conta ou com outraContas da AWS. Se você tiver váriosContas da AWS, poderá criar um recurso uma vez e usá-loAWS RAM para tornar esse recurso utilizável por essas outras contas. Se sua conta for gerenciada porAWS Organizations, você poderá compartilhar recursos com todas as outras contas da organização ou somente as contas contidas em uma ou mais unidades organizacionais (OUs) especificadas. Você também pode compartilhar com um ID específicoContas da AWS da conta, independentemente de a conta fazer parte de uma organização. Alguns tipos de recursos compatíveis também permitem que você os compartilhe com funções e usuários específicos do IAM.

Visão geral de

OAWS RAM

O vídeo a seguir demonstra como as permissõesAWS RAM gerenciadas permitem que você aplique a melhor prática de acesso com menos privilégios aos seusAWS recursos.

Benefícios

Por que usar o AWS RAM? Ele oferece os seguintes benefícios:

  • Reduz sua sobrecarga operacional — Crie um recurso uma vez e depois useAWS RAM para compartilhar esse recurso com outras contas. Isso elimina a necessidade de provisionar recursos duplicados em todas as contas, o que reduz a sobrecarga operacional.

  • Fornece segurança e consistência — simplifique o gerenciamento da segurança de seus recursos compartilhados usando um único conjunto de políticas e permissões. Se, em vez disso, você criasse recursos duplicados em todas as suas contas separadas, teria a tarefa de implementar políticas e permissões idênticas e, em seguida, mantê-las idênticas em todas essas contas. Em vez disso, todos os usuários de um compartilhamento deAWS RAM recursos são gerenciados por um único conjunto de políticas e permissões. AWS RAMoferece uma experiência consistente para compartilhar diferentes tipos deAWS recursos.

  • Fornece visibilidade e auditabilidade — Visualize os detalhes de uso de seus recursos compartilhados por meio da integraçãoAWS RAM com a Amazon CloudWatch AWS CloudTrail e. AWS RAMfornece visibilidade abrangente sobre recursos e contas compartilhados.

E quanto ao acesso entre contas?

Você pode compartilhar alguns tipos deAWS recursos com outras pessoasContas da AWS anexando uma política de permissão baseada em recursos que identifique diretores fora do seuConta da AWS. No entanto, compartilhar um recurso anexando uma política não aproveita os benefícios adicionais que elaAWS RAM oferece. Ao usar,AWS RAM você obtém os seguintes recursos:

  • É possível compartilhar com uma organização ou uma unidade organizacional (UO) sem precisar enumerar cada um dosConta da AWS IDs. Todos os diretores relevantes obtêm acessoContas da AWS automático aos recursos desse compartilhamento de recursos.

  • Os usuários podem ver os recursos compartilhados com eles diretamente noAWS service (Serviço da AWS) console de origem e nas operações da API, como se esses recursos estivessem diretamente na conta do usuário. Por exemplo, se você usaAWS RAM para compartilhar uma sub-rede do Amazon VPC com outra conta, os usuários dessa conta poderão ver a sub-rede no console do Amazon VPC e nos resultados das operações de API do Amazon VPC realizadas nessa conta. Os recursos compartilhados ao anexar uma política baseada em recursos não são visíveis dessa forma; em vez disso, você precisa descobrir e se referir explicitamente ao recurso por meio de seu ARN.

  • Os proprietários de um recurso podem ver quais diretores têm acesso a cada recurso individual que eles compartilharam.

  • Se você compartilhar recursos com uma conta que não faz parte da sua organização,AWS RAM inicia um processo de convite. O destinatário deve aceitar o convite. Depois de ativar a capacidade de compartilhar dentro da sua organização, o compartilhamento com contas na organização não exige convites.

Se você tiver recursos compartilhados usando uma política de permissão baseada em recursos, poderá “promover” esses recursos para recursos totalmenteAWS RAM gerenciados usando a operação daPromoteResourceShareCreatedFromPolicy API, ou seu equivalente na CLIpromote-resource-share-created-from-policy.

Como funciona o compartilhamento de recursos

Quando você compartilha um recurso na conta proprietária com outraConta da AWS, a conta consumidora, está concedendo acesso aos diretores da conta consumidora ao recurso compartilhado. Quaisquer políticas e permissões que se apliquem a funções e usuários na conta consumidora também se aplicam ao recurso compartilhado. Os recursos no compartilhamento parecem ser recursos nativos dos recursos com os quaisContas da AWS você os compartilhou.

Você pode compartilhar recursos globais e regionais. Para obter mais informações, consulte Compartilhamento de recursos regionais em comparação com recursos globais.

Compartilhando seus recursos

Com o AWS RAM, você compartilha recursos que possui criando um compartilhamento de recursos. Para criar um compartilhamento de recursos, especifique o seguinte:

  • ARegião da AWS em que você quer criar o compartilhamento de recursos. No console, você escolhe no menu suspenso Região do, no canto superior do do do. NoAWS CLI, você usa o--region parâmetro.

    • Um compartilhamento de recursos.Região da AWS

    • Um compartilhamento de recursos só pode conter recursos globais se o compartilhamento de recursos estiver na região de origem designada para recursos globais, Leste dos EUA (Norte da Virgínia),us-east-1.

  • Um nome para o compartilhamento de recursos.

  • A lista de recursos aos quais você deseja conceder acesso como parte desse compartilhamento de recursos.

  • Os principais aos quais você concede acesso ao Os diretores podem ser individuaisContas da AWS, as contas em uma organização ou unidade organizacional (OU) ou funções ou usuários individuaisAWS Identity and Access Management (IAM).AWS Organizations

    nota

    Nem todos os tipos de recursos podem ser compartilhados com perfis e usuários do IAM. Para obter informações sobre recursos que você pode compartilhar com esses diretores, consulteUsuáriosAWS compartilháveis.

  • AAWS RAM permissão para se associar a cada tipo de recurso. Essa é uma política de permissãoAWS gerenciada que determina o que os diretores das outras contas podem fazer com os recursos no compartilhamento de recursos.

    O comportamento da permissão:

    • Se o principal estiver em uma conta diferente daquela que possui o recurso, as permissões associadas ao compartilhamento de recursos são as permissões máximas disponíveis para serem concedidas às funções e usuários nessas contas. O administrador dessas contas deve então conceder aos usuários e funções individuais acesso ao recurso compartilhado com políticas baseadas em identidade do IAM. As permissões concedidas nessas políticas não podem exceder as definidas nas permissões anexadas ao compartilhamento de recursos.

    • Se o principal for a conta proprietária do recurso, a política baseada em recursos na permissão será suficiente e todas as funções e usuários na mesma conta receberão automaticamente o acesso definido nas permissões anexadas ao compartilhamento de recursos.

A conta de compartilhamento mantém a propriedade total dos recursos que compartilha.

Usando recursos compartilhados

Quando o proprietário de um recurso o compartilha com sua conta, você pode acessar o recurso compartilhado da mesma forma que faria se sua conta o possuísse. Você pode acessar o recurso usando o console do serviço relevante, os comandosAWS Command Line Interface (AWS CLI) e as operações de API. As operações de API que os diretores da sua conta podem realizar variam de acordo com o tipo de recurso e são especificadas pelaAWS RAM permissão anexada ao compartilhamento de recursos. Todas as políticas do IAM e políticas de controle de serviços configuradas em sua conta também continuam sendo aplicadas, o que permite que você use seus investimentos existentes em controles de segurança e governança.

Quando você acessa um recurso compartilhado usando o serviço desse recurso, você tem as mesmas habilidades e limitações doConta da AWS proprietário do recurso.

  • Se o recurso for Regional, você poderá acessá-lo somente a partir do localRegião da AWS em que ele existe na conta proprietária.

  • Se o recurso for global, você poderá acessá-lo de qualquer umRegião da AWS que o console de serviços e as ferramentas do recurso suportem. Observe que você pode visualizar e gerenciar o compartilhamento de recursos e seus recursos globais noAWS RAM console e nas ferramentas somente na região de origem designada, Leste dos EUA (Norte da Virgínia),us-east-1.

Como acessar o AWS RAM

Você pode trabalhar com o AWS RAM de qualquer uma das seguintes formas:

Console do AWS RAM

O AWS RAM fornece uma interface de usuário na web, o console do AWS RAM. Depois de cadastrar-se em umConta da AWS, você pode acessar o consoleAWS RAM do.AWS RAM AWS Management Console

Você também pode navegar no seu navegador diretamente para o AWS RAMconsole. Se você ainda não estiver conectado, deverá fazer isso antes que o console apareça.

AWS CLIe ferramentas para Windows PowerShell

As ferramentasAWS CLI and para PowerShell fornecer acesso direto às operaçõesAWS RAM públicas da API. AWSÉ compatível com essas ferramentas no Windows, macOS e Linux. Para obter mais informações sobre como começar, consulte o AWS Command Line InterfaceAWS Tools for Windows PowerShellManual do. Para obter mais informações sobre os comandos paraAWS RAM, consulte Referência deAWS CLI comando ou AWS Tools for Windows PowerShellReferência de comando.

AWS SDKs

AWSO fornece comandos de API para um amplo conjunto de linguagens de programação. Para obter mais informações sobre como começar, consulte o Guia de referência deAWS SDKs e ferramentas.

API de consulta

Se você não usa uma das linguagens de programação suportadas, a API de consultaAWS RAM HTTPS fornece acesso programático aAWS RAMAWS e. Com aAWS RAM API, você pode emitir solicitações HTTPS diretamente ao serviço. Quando você usa a API do AWS RAM, deve incluir código para assinar digitalmente solicitações usando suas credenciais. Para obter mais informações, consulte a Referência da API do AWS RAM.

Preços

Não há cobranças adicionais pelo usoAWS RAM ou pela criação de compartilhamentos de recursos e pelo compartilhamento de seus recursos entre contas. As cobranças de uso de recursos variam de acordo com o tipo de recurso. Para obter mais informações sobre comoAWS as contas são compartilháveis, consulte a documentação do serviço de propriedade do recurso.

Conformidade e padrões internacionais

PCI DSS

AWS Resource Access Manager(AWS RAM) é compatível com o processamento, o armazenamento e a transmissão de dados de cartão de crédito por um comerciante ou um provedor de serviços e foi validada como em conformidade com o Data Security Standard (DSS, Padrão de segurança de dados) da Payment Card Industry (PCI, Padrão de cartão de crédito).

Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com o PCI da AWS, consulte Nível 1 do PCI DSS.

FedRAMP

AWS Resource Access ManagerÉ autorizado como FedRAMP Moderate nas seguintesRegiões da AWS: Leste dos EUA (N. Virginia), Oeste dos EUA (Oregon), Oeste dos EUA (N. Virginia), Oeste dos EUA (Oregon).

AWS RAMé autorizado como FedRAMP High nas seguintes formasRegiões da AWS:AWS GovCloud (Oeste dos EUA) eAWS GovCloud (Leste dos EUA).

O Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de autorização e risco) é um programa do governo dos EUA que disponibiliza uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem.

Para obter mais informações sobre a conformidade com o FedRAMP, consulte FedRAMP.

SOC e ISO

AWS Resource Access Managerpode ser usado para cargas de trabalho sujeitas à conformidade com o Service Organization Control (SOC) e aos padrões ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701. Clientes em finanças, saúde e outros setores regulamentados podem obter informações sobre os processos e controles de segurança que protegem os dados do cliente, que podem ser encontrados nos relatórios SOC e nos certificadosAWS ISO e CSA STAR em AWS Artifact.

Para obter mais informações sobre a conformidade com o SOC, consulte SOC.

Para obter mais informações sobre a conformidade com a ISO, consulte ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701.