O que é AWS Resource Access Manager? - AWS Resource Access Manager
Visões gerais do vídeoBenefícios do AWS RAMComo funciona o compartilhamento de recursosAcessando AWS RAMPreços para AWS RAMConformidade e padrões internacionais

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que é AWS Resource Access Manager?

AWS Resource Access Manager (AWS RAM) ajuda você a compartilhar com segurança seus recursos entre Contas da AWS, dentro de sua organização ou unidades organizacionais (OUs) e com funções e usuários AWS Identity and Access Management (IAM) para tipos de recursos compatíveis. Se você tiver vários Contas da AWS, poderá criar um recurso uma vez e usá-lo AWS RAM para tornar esse recurso utilizável por essas outras contas. Se sua conta for gerenciada por AWS Organizations, você poderá compartilhar recursos com todas as outras contas da organização ou somente com as contas contidas em uma ou mais unidades organizacionais especificadas (OUs). Você também pode compartilhar com um ID Contas da AWS de conta específico, independentemente de a conta fazer parte de uma organização. Alguns tipos de recursos compatíveis também permitem compartilhá-los com usuários e perfis especificados do IAM.

Visões gerais do vídeo

O vídeo a seguir fornece uma breve introdução AWS RAM e descreve como criar um compartilhamento de recursos. Para obter mais informações, consulte Criando um compartilhamento de recursos no AWS RAM.

O vídeo a seguir demonstra como aplicar permissões AWS gerenciadas aos seus AWS recursos. Para obter mais informações, consulte Gerenciando permissões em AWS RAM.

Este vídeo demonstra como criar e associar permissões gerenciadas pelo cliente seguindo as práticas recomendadas de privilégio mínimo. Para obter mais informações, consulte, Criação e uso de permissões gerenciadas pelo cliente no AWS RAM.

Benefícios do AWS RAM

Por que usar AWS RAM? Oferece os seguintes benefícios:

  • Reduz sua sobrecarga operacional — Crie um recurso uma vez e use-o AWS RAM para compartilhar esse recurso com outras contas. Isso elimina a necessidade de provisionar recursos duplicados em todas as contas, o que reduz a sobrecarga operacional. Dentro da conta proprietária do recurso, AWS RAM simplifica a concessão de acesso a todas as funções e usuários dessa conta sem precisar usar políticas de permissão baseadas em identidade.

  • Fornece segurança e consistência: simplifique o gerenciamento da segurança de seus recursos compartilhados usando um único conjunto de políticas e permissões. Se, em vez disso, você criasse recursos duplicados em todas as suas contas separadas, teria a tarefa de implementar políticas e permissões idênticas e, em seguida, mantê-las idênticas em todas essas contas. Em vez disso, todos os usuários de um compartilhamento de AWS RAM recursos são gerenciados por um único conjunto de políticas e permissões. AWS RAM oferece uma experiência consistente para compartilhar diferentes tipos de AWS recursos.

  • Fornece visibilidade e auditabilidade — Visualize os detalhes de uso de seus recursos compartilhados por meio da integração AWS RAM com a Amazon CloudWatch e. AWS CloudTrail AWS RAM fornece visibilidade abrangente de recursos e contas compartilhados.

E quanto ao acesso entre contas com políticas baseadas em recursos?

Você pode compartilhar alguns tipos de AWS recursos com outras pessoas Contas da AWS anexando uma política baseada em recursos que identifica AWS Identity and Access Management (IAM) principais (funções e usuários do IAM) fora da sua. Conta da AWS No entanto, compartilhar um recurso anexando uma política não tira proveito dos benefícios adicionais que ela AWS RAM oferece. Ao usar, AWS RAM você obtém os seguintes recursos:

  • Você pode compartilhar com uma organização ou unidade organizacional (OU) sem precisar enumerar cada uma delas. Conta da AWS IDs

  • Os usuários podem ver os recursos compartilhados com eles diretamente no console do AWS service (Serviço da AWS) de origem e nas operações da API, como se esses recursos estivessem diretamente na conta do usuário. Por exemplo, se você costuma AWS RAM compartilhar uma sub-rede da Amazon VPC com outra conta, os usuários dessa conta podem ver a sub-rede no console da Amazon VPC e nos resultados das operações da API da Amazon VPC realizadas nessa conta. Os recursos compartilhados ao anexar uma política baseada em recursos não são visíveis dessa forma; em vez disso, você precisa descobrir e se referir explicitamente ao recurso pelo nome do recurso da Amazon (ARN).

  • Os proprietários de um recurso podem ver quais entidades principais têm acesso a cada recurso individual que eles compartilharam.

  • Se você compartilha recursos com uma conta que não faz parte da sua organização, AWS RAM inicia um processo de convite. O destinatário deve aceitar o convite antes que a entidade principal possa acessar os recursos compartilhados. Depois de ativar a capacidade de compartilhar dentro da sua organização, o compartilhamento com contas na organização não exige convites.

Se você tiver recursos compartilhados usando uma política de permissão baseada em recursos, poderá promovê-los a recursos totalmente AWS RAM gerenciados fazendo o seguinte:

Como funciona o compartilhamento de recursos

Quando você compartilha um recurso na conta proprietária com outra Conta da AWS, a conta consumidora, você está concedendo acesso aos diretores da conta consumidora ao recurso compartilhado. Quaisquer políticas e permissões aplicáveis a usuários e perfis na conta de consumo também se aplicam ao recurso compartilhado. Os recursos no compartilhamento parecem recursos nativos no local com o Contas da AWS qual você os compartilhou.

Você pode compartilhar recursos globais e regionais. Para obter mais informações, consulte Compartilhamento de recursos regionais em comparação com recursos globais.

Compartilhar seus recursos da

Com AWS RAM, você compartilha recursos de sua propriedade criando um compartilhamento de recursos. Para criar um compartilhamento de recurso, especifique o seguinte:

  • O Região da AWS no qual você deseja criar o compartilhamento de recursos. No console, escolha a Região na lista suspensa no canto superior direito do console. No AWS CLI, você usa o --region parâmetro.

    • Um compartilhamento de recurso pode conter somente recursos regionais que estão na mesma Região da AWS que o compartilhamento de recurso.

    • Um compartilhamento de recursos pode conter recursos globais somente se o compartilhamento de recursos estiver na região de origem designada para recursos globais, Leste dos EUA (Norte da Virgínia), us-east-1.

  • Um nome para o compartilhamento de recursos.

  • A lista de recursos aos quais você deseja conceder acesso como parte desse compartilhamento de recursos.

  • As entidades principais às quais você concede acesso ao compartilhamento de recurso. Os diretores podem ser individuais Contas da AWS, as contas em uma organização ou unidade organizacional (OU) ou funções ou usuários individuais AWS Identity and Access Management (IAM). AWS Organizations

    nota

    Nem todos os tipos de recursos podem ser compartilhados com perfis e usuários do IAM. Para obter informações sobre os recursos que você pode compartilhar com essas entidades principais, consulte Recursos compartilháveis AWS.

  • Uma permissão gerenciada para associar a cada tipo de recurso incluído em um compartilhamento de recursos. A permissão gerenciada determina o que as entidades principais das outras contas podem fazer com os recursos no compartilhamento de recursos.

    O comportamento da permissão depende do tipo de entidade principal:

    • Se a entidade principal estiver em uma conta diferente daquela que possui o recurso, as permissões anexadas ao compartilhamento de recursos são as permissões máximas disponíveis para serem concedidas a usuários e perfis nessas contas. O administrador dessas contas deve então conceder aos papéis individuais e aos usuários acesso ao recurso compartilhado com políticas baseadas em identidade do IAM. As permissões concedidas nessas políticas não podem exceder as definidas nas permissões anexadas ao compartilhamento de recursos.

A conta proprietária do recurso mantém a propriedade total dos recursos que ela compartilha.

Uso dos recursos compartilhados

Quando o proprietário de um recurso o compartilha com sua conta, você pode acessar o recurso compartilhado como faria se ele pertencesse à sua conta. Você pode acessar o recurso usando o console, os AWS CLI comandos e as operações de API do serviço relevante. As operações de API que as entidades principais da sua conta podem realizar variam de acordo com o tipo de recurso e são especificadas pelo AWS RAM permissão anexada ao compartilhamento de recursos. Todas as políticas do IAM e as políticas de controle de serviço configuradas em sua conta se aplicam, o que permite utilizar os investimentos existentes em controles de governança e segurança.

Quando você acessa um recurso compartilhado usando o serviço desse recurso, você tem as mesmas habilidades e limitações do Conta da AWS proprietário do recurso.

  • Se o recurso for regional, você poderá acessá-lo somente a partir da Região da AWS em que ele existe na conta proprietária.

  • Se o recurso for global, você poderá acessá-lo de qualquer Região da AWS que o console de serviço e as ferramentas do recurso suportem. Você pode visualizar e gerenciar o compartilhamento de recursos e seus recursos globais no AWS RAM console e nas ferramentas somente na região de origem designada, Leste dos EUA (Norte da Virgínia)us-east-1.

Acessando AWS RAM

Você pode trabalhar com AWS RAM qualquer uma das seguintes formas:

AWS RAM console

AWS RAM fornece uma interface de usuário baseada na web, o AWS RAM console. Se você se inscreveu em um Conta da AWS, você pode acessar o AWS RAM console entrando AWS Management Consolee escolhendo na página inicial AWS RAM do console.

Você também pode navegar no seu navegador diretamente para o console do AWS RAM. Se você ainda não fez login, será pedido que faça isso antes que o console seja exibido.

AWS CLI e ferramentas para Windows PowerShell

O AWS CLI e Ferramentas da AWS para PowerShell fornece acesso direto às operações AWS RAM públicas da API. AWS suporta essas ferramentas em Windows, macOS e Linux. Para obter mais informações sobre como começar, consulte o Guia AWS Command Line Interface do usuário ou o Guia AWS Tools for Windows PowerShell do usuário. Para obter mais informações sobre os comandos do AWS RAM, consulte a Referência de AWS CLI Comandos ou a Referência de AWS Tools for Windows PowerShell Cmdlet.

AWS SDKs

AWS fornece comandos de API para um amplo conjunto de linguagens de programação. Para obter mais informações sobre como começar, consulte o Guia de referência de ferramentas AWS SDKs e ferramentas.

API de consulta

Se você não usa uma das linguagens de programação suportadas, a API de consulta AWS RAM HTTPS fornece acesso programático a AWS RAM e. AWS Com a AWS RAM API, você pode emitir solicitações HTTPS diretamente para o serviço. Ao usar a AWS RAM API, você deve incluir um código para assinar digitalmente as solicitações usando suas credenciais. Para obter mais informações, consulte a Referência da API do AWS RAM.

Preços para AWS RAM

Não há cobranças adicionais pelo uso AWS RAM ou pela criação de compartilhamentos de recursos e pelo compartilhamento de seus recursos entre contas. As cobranças de uso de recursos variam de acordo com o tipo de recurso. Para obter mais informações sobre como AWS faturar recursos compartilháveis, consulte a documentação do serviço proprietário do recurso.

Conformidade e padrões internacionais

PCI DSS

AWS RAM suporta o processamento, armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços e foi validado como compatível com o Padrão de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI).

Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com o PCI Compliance Package AWS , consulte Nível 1 do PCI DSS.

FedRAMP

AWS RAM está autorizado como FedRAMP Moderado nas Regiões da AWS seguintes áreas: Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Norte da Califórnia) e Oeste dos EUA (Oregon).

AWS RAM está autorizado como FedRAMP High nas Regiões da AWS seguintes condições AWS GovCloud : (Oeste dos EUA) e (Leste dos EUA) AWS GovCloud .

O Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de autorização e risco) é um programa do governo dos EUA que disponibiliza uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem.

Para obter mais informações sobre conformidade com FedRAMP, consulte FedRAMP.

SOC e ISO

AWS RAM pode ser usado para cargas de trabalho sujeitas à conformidade com o Service Organization Control (SOC) e com os padrões ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701 da Organização Internacional de Padronização (ISO). Clientes de finanças, saúde e outros setores regulamentados podem obter informações sobre os processos e controles de segurança que protegem os dados dos clientes, que podem ser encontrados nos relatórios do SOC e nos certificados ISO e CSA STAR da AWS no AWS Artifact.

Para obter mais informações sobre a conformidade do SOC, consulte SOC.

Para obter mais informações sobre a conformidade com a ISO, consulte ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701.