Was ist AWS Resource Access Manager? - AWS Resource Access Manager
VideoübersichtenVorteile von AWS RAMFunktionsweise der RessourcenfreigabeZugriff auf AWS RAMPreise für AWS RAMKonformität und internationale Standards

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist AWS Resource Access Manager?

AWS Resource Access Manager(AWS RAM) hilft Ihnen dabei, Ihre Ressourcen sicher zwischenAWS-Konten, innerhalb Ihrer Organisation oder Organisationseinheiten (OUs) sowie mitAWS Identity and Access Management (IAM-) Rollen und Benutzern für unterstützte Ressourcentypen zu teilen. Wenn Sie mehrere habenAWS-Konten, können Sie eine Ressource einmal erstellen und verwenden,AWS RAM um diese Ressource für diese anderen Konten nutzbar zu machen. Wenn Ihr Konto von verwaltet wirdAWS Organizations, können Sie Ressourcen mit allen anderen Konten in der Organisation oder nur mit den Konten teilen, die zu einer oder mehreren bestimmten Organisationseinheiten (OUs) gehören. Sie können Inhalte auch mit einer bestimmtenAWS-Konten Konto-ID teilen, unabhängig davon, ob das Konto Teil einer Organisation ist. Bei einigen unterstützten Ressourcentypen können Sie sie auch für bestimmte IAM-Rollen und -Benutzer freigeben.

Videoübersichten

Das folgende Video stellt eine kurze EinführungAWS RAM und beschreibt, wie ein Ressourcenfreigabe erstellt wird. Weitere Informationen finden Sie unter Einen Ressourcenanteil erstellen in AWS RAM.

Das folgende Video zeigt, wie SieAWS verwaltete Berechtigungen auf IhreAWS Ressourcen anwenden. Weitere Informationen finden Sie unter Verwaltung von Berechtigungen inAWS RAM.

Dieses Video zeigt, wie kundenverwaltete Rechte nach der bewährten Methode der geringsten Rechte erstellt und zugeordnet werden. Weitere Informationen finden Sie unter Vom Kunden verwaltete Berechtigungen erstellen und verwenden inAWS RAM.

Vorteile von AWS RAM

Warum AWS RAM verwenden? Sie bietet die folgenden Vorteile:

  • Reduziert Ihren betrieblichen Aufwand — Erstellen Sie eine Ressource einmal und verwenden Sie sie dann,AWS RAM um diese Ressource mit anderen Konten zu teilen. Dadurch müssen Sie keine doppelten Ressourcen in jedem Konto bereitstellen, wodurch sich der Betriebsaufwand verringert. Innerhalb des Kontos, dem die Ressource gehört,AWS RAM wird es vereinfacht, allen Rollen und Benutzern in diesem Konto Zugriff zu gewähren, ohne identitätsbasierte Berechtigungsrichtlinien verwenden zu müssen.

  • Sorgt für Sicherheit und Konsistenz — Vereinfachen Sie das Sicherheitsmanagement für Ihre gemeinsam genutzten Ressourcen, indem Sie einen einzigen Satz von Richtlinien und Berechtigungen verwenden. Wenn Sie stattdessen doppelte Ressourcen in all Ihren separaten Konten erstellen würden, hätten Sie die Aufgabe, identische Richtlinien und Berechtigungen zu implementieren und diese dann für all diese Konten identisch zu halten. Stattdessen werden alle Benutzer einerAWS RAM Ressourcennutzung durch einen einzigen Satz von Richtlinien und Berechtigungen verwaltet. AWS RAMbietet ein einheitliches Erlebnis für die gemeinsame Nutzung verschiedener Arten vonAWS Ressourcen.

  • Sorgt für Transparenz und Überprüfbarkeit — Durch die Integration vonAWS RAM Amazon CloudWatch und können Sie sich die Nutzungsdetails Ihrer gemeinsam genutzten Ressourcen anzeigen lassenAWS CloudTrail. AWS RAMbietet einen umfassenden Überblick über gemeinsam genutzte Ressourcen und Konten.

Wie steht es mit kontenübergreifenden Zugriffen mit ressourcenbasierten Richtlinien?

Sie können einige Arten vonAWS Ressourcen mit anderen teilen,AWS-Konten indem Sie eine ressourcenbasierte Richtlinie anhängen, dieAWS Identity and Access Management (IAM-) Prinzipale (IAM-Rollen und Benutzer) außerhalb Ihrer Ressourcen identifiziertAWS-Konto. Wenn Sie eine Ressource gemeinsam nutzen, indem Sie eine Richtlinie anhängen, werden die zusätzlichen Vorteile, die sich darausAWS RAM ergeben, jedoch nicht genutzt. Durch die Verwendung erhaltenAWS RAM Sie folgende Funktionen:

  • Sie können die Daten für eine Organisation oder eine Organisationseinheit (OE) freigeben, ohne jede einzelne derAWS-Konto IDs aufzählen zu müssen.

  • Benutzer können die für sie freigegebenen Ressourcen direkt in der ursprünglichenAWS-Service Konsole und in den API-Vorgängen sehen, als ob sich diese Ressourcen direkt im Konto des Benutzers befinden würden. Wenn SieAWS RAM beispielsweise ein Amazon VPC-Subnetz mit einem anderen Konto teilen, können Benutzer dieses Kontos das Subnetz in der Amazon VPC-Konsole und in den Ergebnissen der Amazon VPC-API-Operationen sehen, die in diesem Konto ausgeführt wurden. Ressourcen, die durch das Anhängen einer ressourcenbasierten Richtlinie gemeinsam genutzt werden, sind auf diese Weise nicht sichtbar. Stattdessen müssen Sie die Ressource anhand ihres Amazon-Ressourcennamens (ARN) ermitteln und explizit darauf verweisen.

  • Die Besitzer einer Ressource können sehen, welche Principals Zugriff auf jede einzelne Ressource haben, die sie gemeinsam genutzt haben.

  • Wenn Sie Ressourcen mit einem Konto teilen, das nicht zu Ihrer Organisation gehört, wird einAWS RAM Einladungsprozess eingeleitet. Der Empfänger muss die Einladung annehmen, bevor der Prinzipal auf die freigegebenen Ressourcen zugreifen kann. Nachdem Sie die Funktion zum Teilen innerhalb Ihrer Organisation aktiviert haben, sind für die gemeinsame Nutzung mit Konten in der Organisation keine Einladungen erforderlich.

Wenn Sie über Ressourcen verfügen, die Sie mithilfe einer ressourcenbasierten Berechtigungsrichtlinie gemeinsam genutzt haben, können Sie diese Ressourcen zu vollständigAWS RAM verwalteten Ressourcen heraufstufen, indem Sie eine der folgenden Aktionen ausführen:

Funktionsweise der Ressourcenfreigabe

Wenn Sie eine Ressource im Eigentümerkonto mit einer anderen RessourceAWS-Konto, dem Verbraucherkonto, teilen, gewähren Sie den Hauptbenutzern des Benutzerkontos Zugriff auf die gemeinsam genutzte Ressource. Alle Richtlinien und Berechtigungen, die für Rollen und Benutzer im Nutzerkonto gelten, gelten auch für die gemeinsam genutzte Ressource. Die Ressourcen in der Freigabe sehen aus, als wären sie native Ressourcen in dem, mit demAWS-Konten Sie sie geteilt haben.

Sie können sowohl globale als auch regionale Ressourcen gemeinsam nutzen. Weitere Informationen finden Sie unter Gemeinsame Nutzung regionaler Ressourcen im Vergleich zu globalen Ressourcen.

Teilen Sie Ihre Ressourcen

Mit AWS RAM geben Sie Ressourcen in Ihrem Besitz frei, indem Sie eine Ressourcenfreigabe erstellen. Um eine Ressourcenfreigabe zu erstellen, geben Sie Folgendes an:

  • Der,AWS-Region in der Sie den Ressourcenfreigabe anlegen möchten. In der Konsole wählen Sie aus dem Dropdown-Menü Region in der oberen rechten Ecke der Konsole. In derAWS CLI verwenden Sie den--region Parameter.

    • Ein Ressourcenfreigabe kann nur regionale Ressourcen enthalten, die mit dem Ressourcenfreigabe übereinstimmen.AWS-Region

    • Ein Ressourcenanteil kann nur globale Ressourcen enthalten, wenn sich der Ressourcenanteil in der ausgewiesenen Heimatregion für globale Ressourcen, USA Ost (Nord-Virginia), befindetus-east-1.

  • Ein Name für die Ressourcenfreigabe.

  • Die Liste der Ressourcen, auf die Sie im Rahmen dieser Ressourcenfreigabe Zugriff gewähren möchten.

  • Die Prinzipale, denen Sie Zugriff auf die Ressource gewähren. Principals können EinzelpersonenAWS-Konten, die Konten einer Organisation oder einer Organisationseinheit (OU) inAWS Organizations oder einzelne Rollen oder BenutzerAWS Identity and Access Management (IAM) sein.

    Anmerkung

    Nicht alle Ressourcentypen können mit IAM-Rollen und Benutzern geteilt werden. Informationen zu Ressourcen, die Sie mit diesen Prinzipalen gemeinsam nutzen können, finden Sie unterGemeinsam nutzbare Ressourcen AWS.

  • Eine verwaltete Berechtigung zur Verknüpfung mit jedem Ressourcentyp, den Sie in eine Ressourcenfreigabe aufnehmen. Die verwaltete Berechtigung bestimmt, was die Prinzipale in den anderen Konten mit den Ressourcen in der Resource Share tun können.

    Das Verhalten der Erlaubnis ist abhängig vom Typ des Prinzipals:

    • Wenn der Principal ein anderes Konto hat als das, dem die Ressource gehört, dann sind die mit der Ressourcennutzung verknüpften Berechtigungen die maximalen Berechtigungen, die Rollen und Benutzern in diesen Konten gewährt werden können. Der Administrator dieser Konten muss dann einzelnen Rollen und Benutzern Zugriff auf die gemeinsam genutzte Ressource mit identitätsbasierten IAM-Richtlinien gewähren. Die in diesen Richtlinien gewährten Berechtigungen dürfen nicht über die Berechtigungen hinausgehen, die in den mit der Ressourcennutzung verknüpften Berechtigungen definiert sind.

Das Konto, das Ressourcen besitzt, behält das volle Eigentum an den Ressourcen, die es gemeinsam nutzt.

Verwenden gemeinsam genutzter Ressourcen

Wenn der Besitzer einer Ressource diese mit Ihrem Konto teilt, können Sie auf die geteilte Ressource zugreifen, als ob sie Ihrem Konto gehört hätte. Sie können auf die Ressource zugreifen, indem Sie die Konsole,AWS CLI Befehle und API-Operationen des entsprechenden Dienstes verwenden. Die API-Operationen, die die Principals in Ihrem Konto ausführen dürfen, variieren je nach Ressourcentyp und werden durch die der Ressourcennutzung zugewieseneAWS RAM Berechtigung festgelegt. Alle in Ihrem Konto konfigurierten IAM-Richtlinien und Servicekontrollrichtlinien gelten ebenfalls weiterhin, sodass Sie Ihre vorhandenen Investitionen in Sicherheits- und Governance-Kontrollen nutzen können.

Wenn Sie über den Dienst dieser Ressource auf eine gemeinsam genutzte Ressource zugreifen, haben Sie dieselben Fähigkeiten und Einschränkungen wieAWS-Konto der Besitzer der Ressource.

  • Wenn es sich bei der Ressource um eine regionale Ressource handelt, können Sie nur von der Ressource aus zugreifen,AWS-Region in der sie im eigenen Konto vorhanden ist.

  • Wenn die Ressource global ist, können Sie von jedem Ort aus darauf zugreifenAWS-Region, den die Servicekonsole und die Tools der Ressource unterstützen. Sie können die Ressourcenfreigabe und die zugehörigen globalen Ressourcen in derAWS RAM Konsole und den Tools nur in der dafür vorgesehenen Heimatregion USA Ost (Nord-Virginia) anzeigen und verwaltenus-east-1.

Zugriff auf AWS RAM

Sie können AWS RAM auf folgende Art und Weise nutzen:

AWS RAM-Konsole

AWS RAM bietet eine Web-basierte Benutzeroberfläche, die AWS RAM-Konsole. Nach der Registrierung einer können Sie auf dieAWS RAM -Konsole zugreifenAWS-Konto, indem Sie sich bei der anmelden AWS Management Consoleund aufAWS RAM der Konsolenstartseite auswählen.

Sie können in Ihrem Browser auch direkt zur AWS RAMKonsole navigieren. Wenn Sie noch nicht angemeldet sind, werden Sie dazu aufgefordert, bevor die Konsole angezeigt wird.

AWS CLIund Tools für Windows PowerShell

DieAWS CLI undAWS Tools for PowerShell bieten direkten Zugriff auf dieAWS RAM öffentlichen API-Operationen. AWSunterstützt diese Tools aufWindowsmacOS, undLinux. Weitere Informationen zu den ersten Schritten finden Sie im AWS Command Line Interface-Benutzerhandbuch oder AWS Tools for Windows PowerShell-Benutzerhandbuch. Weitere Informationen zu den Befehlen fürAWS RAM finden Sie in der AWS CLI-Befehlsreferenz oder in der AWS Tools for Windows PowerShellCmdletreferenz.

AWS-SDKs

AWSstellt API-Befehle für zahlreiche Programmiersprachen bereit. Weitere Informationen zu den ersten Schritten finden Sie im -Benutzerhandbuch fürAWS SDKs und Tools.

Abfrage-API

Wenn Sie keine der unterstützten Programmiersprachen verwenden, erhalten Sie mit derAWS RAM HTTPS-Abfrage-API programmatischen Zugriff aufAWS RAM undAWS. Mit derAWS RAM API können Sie HTTPS-Anfragen direkt an den Service richten. Wenn Sie die AWS RAM-API nutzen, müssen Sie Code zur digitalen Signierung von Anfragen mittels Ihrer Anmeldeinformationen einschließen. Weitere Informationen finden Sie in der AWS RAM-API-Referenz.

Preise für AWS RAM

Für die NutzungAWS RAM oder Erstellung von Ressourcenfreigaben und die gemeinsame Nutzung Ihrer Ressourcen für mehrere Konten fallen keine zusätzlichen Gebühren an. Nutzungsabhängige Gebühren von Ressourcen variieren je nach Ressourcentyp. Weitere Informationen zur AbrechnungAWS freigegebener Ressourcen finden Sie in der Dokumentation für den Dienst, der der die Ressource gehört.

Konformität und internationale Standards

PCI-DSS

AWS RAMunterstützt die Verarbeitung, Speicherung und Übertragung von Kreditkartendaten durch einen Händler oder Dienstleister und wurde als konform mit dem Payment Card Industry (PCI) Data Security Standard (DSS) validiert.

Weitere Informationen über PCI DSS, einschließlich der Anforderung einer Kopie des AWS PCI Compliance Package, finden Sie unter PCI DSS Level 1.

FedRAMP

AWS RAMist als FedRAMP Moderate in den folgenden Ländern zugelassenAWS-Regionen: US East (Nord-Virginia), USA East (Ohio), USA West (Nordkalifornien) und USA West (Oregon).

AWS RAMist in den folgenden Ländern als FedRAMP High zugelassenAWS-Regionen:AWS GovCloud (US-West) undAWS GovCloud (US-Ost).

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-Bundesprogramm, das einen Standardansatz für die Sicherheitsprüfung, Autorisierung und die laufende Überwachung von Cloud-Produkten und -Services bereitstellt..

Weitere Informationen zur FedRAMP-Konformität finden Sie unter FedRAMP.

SOC und ISO

AWS RAMkann für Workloads verwendet werden, die den Normen Service Organization Control (SOC) und ISO 9001, ISO 27001, ISO 27017, ISO 27018 und ISO 27701 der International Organization for Standardization (ISO) entsprechen. Kunden aus den Bereichen Finanzen, Gesundheitswesen und anderen regulierten Branchen können Einblicke in die Sicherheitsprozesse und -kontrollen zum Schutz von Kundendaten erhalten. Diese finden Sie in den SOC-Berichten sowie in denAWS ISO- und CSA STAR-Zertifikaten unter AWS Artifact.

Weitere Informationen zur SOC-Konformität finden Sie unter SOC.

Weitere Informationen zur ISO-Konformität finden Sie unter ISO 9001, ISO 27001, ISO 27017, ISO 27018 und ISO 27701.