Uso compartido de recursos Cuentas que comparte Entidades principales consumidoras Política basada en recursos Permisos administrados Versión del permiso administrado

Términos y conceptos para AWS RAM

Los siguientes conceptos ayudan a explicar cómo puedes usar AWS Resource Access Manager (AWS RAM) para compartir tus recursos.

Los recursos se comparten AWS RAM mediante la creación de un recurso compartido. Un recurso compartido consta de los tres elementos siguientes:

Una lista de uno o más AWS recursos para compartir.
Una lista de una o más entidades principales a las que se concede acceso.
Un permiso administrado para cada tipo de recurso que se incluya en el recurso compartido. Cada permiso administrado se aplica a todos los recursos de ese tipo en ese recurso compartido.

Después de AWS RAM crear un recurso compartido, las entidades principales especificadas en el recurso compartido pueden tener acceso a los recursos del recurso compartido.

Si activas el AWS RAM uso compartido y los directores con AWS Organizations los que compartes pertenecen a la misma organización que la cuenta compartida, dichos directores podrán recibir acceso en cuanto el administrador de la cuenta les conceda permisos para usar los recursos mediante una política de permisos AWS Identity and Access Management (IAM).
Si no activas el uso AWS RAM compartido con Organizations, puedes seguir compartiendo los recursos con Cuentas de AWS las personas de tu organización. El administrador de la cuenta consumidora recibe una invitación para unirse al recurso compartido, y debe aceptarla para que las entidades principales especificadas en el recurso compartido puedan acceder a los recursos compartidos.
También puede compartir con cuentas externas a su organización, si el tipo de recurso lo admite. El administrador de la cuenta consumidora recibe una invitación para unirse al recurso compartido, y debe aceptarla para que las entidades principales especificadas en el recurso compartido puedan acceder a los recursos compartidos. Para obtener información sobre los tipos de recursos que admiten este tipo de uso compartido, consulte Recursos que se pueden compartir AWS y fíjese en la columna Puede compartir con cuentas externas a su organización.

La cuenta de uso compartido contiene el recurso que se comparte y en la que el AWS RAM administrador crea el AWS recurso compartido mediante AWS RAM.

Un AWS RAM administrador es un IAM director que tiene permisos para crear y configurar recursos compartidos en Cuenta de AWS. Como AWS RAM funciona adjuntando una política basada en recursos a los recursos de un recurso compartido, el AWS RAM administrador también debe tener permisos para llamar a la PutResourcePolicy operación Servicio de AWS para cada tipo de recurso incluido en un recurso compartido.

Entidades principales consumidoras

La cuenta consumidora es aquella Cuenta de AWS con la que se comparte un recurso. El recurso compartido puede especificar una cuenta completa como entidad principal o, en el caso de ciertos tipos de recursos, roles o usuarios individuales de la cuenta. Para obtener información sobre los tipos de recursos que admiten este tipo de uso compartido, consulta Recursos que se pueden compartir AWS y consulta la columna Se puede compartir con IAM roles y usuarios.

AWS RAM también admite a los directores de servicio como consumidores de recursos compartidos. Para obtener información sobre los tipos de recursos que admiten este tipo de uso compartido, consulte Recursos que se pueden compartir AWS y fíjese en la columna Puede compartir con entidades principales de servicio.

Las entidades principales de la cuenta consumidora pueden realizar solo las acciones permitidas por los dos permisos siguientes:

Los permisos administrados adjuntos al recurso compartido. Especifican los permisos máximos que se pueden conceder a las entidades principales de la cuenta consumidora.
Las políticas IAM basadas en la identidad adjuntas a los roles o usuarios individuales por el IAM administrador de la cuenta consumidora. Esas políticas deben conceder Allow acceso a acciones específicas y al nombre de recurso de Amazon (ARN) de un recurso de la cuenta compartida.

AWS RAM admite los siguientes tipos IAM principales como consumidores de recursos compartidos:

Otro Cuenta de AWS: el recurso compartido pone a disposición de la cuenta consumidora los recursos incluidos en la cuenta de uso compartido.
IAMFunciones o usuarios individuales de otra cuenta: algunos tipos de recursos permiten compartir directamente con IAM funciones o usuarios individuales. Especifique este tipo principal por suARN.
- IAMrol — arn:aws:iam::123456789012:role/rolename
- IAMusuario — arn:aws:iam::123456789012:user/username
Principal de servicio: comparte un recurso con un AWS servicio para conceder al servicio acceso a un recurso compartido. Compartir el principal del AWS servicio permite que un servicio tome medidas en su nombre para aliviar la carga operativa.

Para compartir con una entidad principal de servicio, seleccione que desea permitir el uso compartido con cualquiera y, a continuación, en Seleccione el tipo de entidad principal, elija Entidad principal de servicio en la lista desplegable. Especifique el nombre de la entidad principal de servicio con el siguiente formato:
- service-id.amazonaws.com
Para reducir el riesgo del suplente confuso, la política de recursos muestra el ID de cuenta del propietario del recurso en la clave de condición aws:SourceAccount.
Cuentas de una organización: si la cuenta compartida está gestionada por AWS Organizations, el recurso compartido puede especificar el identificador de la organización para compartirlo con todas las cuentas de la organización. Como alternativa, el recurso compartido también puede especificar un ID de unidad organizativa (OU) para compartirlo con todas las cuentas de esa OU. Una cuenta compartida solo puede compartir con su propia organización o unidad organizativa IDs dentro de su propia organización. Especifique las cuentas de una organización según ARN la organización o la OU.
- Todas las cuentas de una organización: a continuación se muestra un ejemplo ARN de una organización en AWS Organizations:
  
  arn:aws:organizations::123456789012:organization/o-<orgid>
- Todas las cuentas de una unidad organizativa: a continuación se muestra un ejemplo ARN de un identificador de unidad organizativa:
  
  arn:aws:organizations::123456789012:organization/o-<orgid>/ou-<rootid>-<ouid>
importante
Cuando comparte con una organización o OU, y ese ámbito incluye la cuenta propietaria del recurso compartido, todas las entidades principales de la cuenta compartida automáticamente obtienen acceso a los recursos del recurso compartido. El acceso concedido viene definido por los permisos administrados asociados al recurso compartido. Esto se debe a que la política basada en los recursos que se AWS RAM adjunta a cada recurso del recurso compartido utiliza "Principal": "*" Para obtener más información, consulte Implicaciones del uso "Principal": "*" en una política basada en los recursos.
Las entidades principales de las demás cuentas consumidoras no obtienen acceso a los recursos del recurso compartido de inmediato. Los administradores de las demás cuentas primero deben adjuntar políticas de permisos basados en identidad a las entidades principales correspondientes. Esas políticas deben conceder el Allow acceso a los recursos individuales ARNs del recurso compartido. Los permisos de dichas políticas no pueden superar los especificados en el permiso administrado asociado al recurso compartido.

Política basada en recursos

Las políticas basadas en los recursos son documentos de JSON texto que implementan el lenguaje de las IAM políticas. A diferencia de las políticas basadas en la identidad que se asocian al director, como un IAM rol o un usuario, las políticas basadas en recursos se asocian al recurso. AWS RAM crea políticas basadas en recursos en su nombre en función de la información que proporciona para su recurso compartido. Debe especificar un elemento de política de Principal que determine quién puede acceder al recurso. Para obtener más información, consulte las políticas basadas en la identidad y las políticas basadas en los recursos en la Guía del usuario. IAM

Las políticas basadas en recursos generadas por se AWS RAM evalúan junto con todos los demás tipos de políticas. IAM Esto incluye cualquier política IAM basada en la identidad asociada a los principales que intentan acceder al recurso, así como las políticas de control de servicios (SCPs) AWS Organizations que puedan aplicarse al recurso. Cuenta de AWS Las políticas basadas en recursos generadas por ellas AWS RAM participan en la misma lógica de evaluación de políticas que todas las demás políticas. IAM Para obtener detalles completos sobre la evaluación de políticas y cómo determinar los permisos resultantes, consulte la lógica de evaluación de políticas en la Guía del IAMusuario.

AWS RAM proporciona una experiencia de intercambio de recursos sencilla y segura al proporcionar políticas easy-to-use abstractas basadas en los recursos.

Para los tipos de recursos que respaldan las políticas basadas en los recursos, crea y administra AWS RAM automáticamente las políticas basadas en los recursos por usted. Para un recurso determinado, AWS RAM crea la política basada en recursos combinando la información de todos los recursos compartidos que incluyen dicho recurso. Por ejemplo, piensa en una canalización de Amazon SageMaker AI que compartes utilizando AWS RAM e incluyendo en dos recursos compartidos diferentes. Podría utilizar un recurso compartido para proporcionar acceso de solo lectura a toda la organización. A continuación, podría utilizar el otro recurso compartido para conceder únicamente permisos de ejecución de SageMaker IA a una sola cuenta. AWS RAM combina automáticamente esos dos conjuntos diferentes de permisos en una única política de recursos con varias declaraciones. A continuación, adjunta la política combinada basada en recursos al recurso de la canalización. Para ver esta política de recursos subyacente, llame al GetResourcePolicyoperación. Servicios de AWS a continuación, utilice esa política basada en recursos para autorizar a cualquier director que intente realizar una acción en el recurso compartido.

Si bien puede crear políticas basadas en recursos manualmente y adjuntarlas a sus recursos llamando a PutResourcePolicy, le recomendamos que utilice AWS RAM , ya que ofrece las siguientes ventajas:

Capacidad de descubrimiento para los consumidores de recursos compartidos: si compartes los recursos mediante el uso AWS RAM, los usuarios pueden ver todos los recursos compartidos con ellos directamente en la consola del servicio propietario del recurso y API funcionar como si esos recursos estuvieran directamente en la cuenta del usuario. Por ejemplo, si compartes un AWS CodeBuild proyecto con otra cuenta, los usuarios de la cuenta consumidora pueden ver el proyecto en la CodeBuild consola y ver los resultados de CodeBuild API las operaciones realizadas. Los recursos que se comparten adjuntando directamente una política basada en recursos no están visibles de este modo. En su lugar, debe descubrir y hacer referencia explícita al recurso por suARN.
Capacidad de administración para los propietarios de acciones: si compartes los recursos mediante el uso AWS RAM, los propietarios de los recursos de la cuenta compartida pueden ver de forma centralizada qué otras cuentas tienen acceso a sus recursos. Si compartes un recurso mediante una política basada en recursos, solo podrás ver las cuentas consumidoras examinando la política de los recursos individuales en la consola de servicio correspondiente o. API
Eficiencia: si compartes los recursos mediante el uso AWS RAM, puedes compartir varios recursos y administrarlos como una unidad. Los recursos que se comparten mediante el uso exclusivo de políticas basadas en recursos requieren que se adjunten políticas individuales a cada recurso que se comparte.
Simplicidad: con AWS RAM, no es necesario entender el lenguaje de las IAM políticas JSON basadas en ellas. AWS RAM proporciona permisos ready-to-use AWS gestionados entre los que puede elegir para adjuntarlos a sus recursos compartidos.

Al utilizarlos AWS RAM, puede incluso compartir algunos tipos de recursos que aún no son compatibles con las políticas basadas en recursos. Para estos tipos de recursos, genera AWS RAM automáticamente una política basada en los recursos como representación de los permisos reales. Los usuarios pueden ver esta representación llamando GetResourcePolicy. Esto incluye los siguientes tipos de recursos:

Amazon Aurora: clústeres de base de datos (DB)
AmazonEC2: reservas de capacidad y anfitriones dedicados
AWS License Manager — Configuraciones de licencias
AWS Outposts — Tablas de rutas, puestos de avanzada y sitios de las pasarelas de enlace locales
Amazon Route 53: reglas de reenvío
Amazon Virtual Private Cloud: IPv4 direcciones, listas de prefijos, subredes, destinos de espejo de tráfico, pasarelas de tránsito y dominios de multidifusión de pasarelas de tránsito propiedad de los clientes

AWS RAM Ejemplos de políticas generadas basadas en recursos

Si comparte un recurso de EC2 imagen de Image Builder con una cuenta individual, AWS RAM genera una política similar al ejemplo siguiente y la adjunta a cualquier recurso de imagen que esté incluido en el recurso compartido.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}

Si comparte un recurso de EC2 imagen de Image Builder con un IAMrol o un usuario de otro Cuenta de AWS, AWS RAM genera una política similar al ejemplo siguiente y la adjunta a todos los recursos de imagen que estén incluidos en el recurso compartido.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MySampleRole"
      },
      "Action": [
          "imagebuilder:GetImage",
          "imagebuilder:ListImages",
      ],
      "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
    }
  ]
}

Si comparte un recurso de EC2 imagen de Image Builder con todas las cuentas de una organización o con las cuentas de una unidad organizativa, AWS RAM genera una política similar al ejemplo siguiente y la adjunta a todos los recursos de imagen que estén incluidos en el recurso compartido.

nota

Esta política usa "Principal": "*" y luego usa el elemento "Condition" para restringir los permisos a las identidades que coincidan con los PrincipalOrgID especificados. Para obtener más información, consulte Implicaciones del uso "Principal": "*" en una política basada en los recursos.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-123456789"
                }
            }
        }
    ]
}

Implicaciones del uso "Principal": "*" en una política basada en los recursos

Cuando se incluye "Principal": "*" en una política basada en recursos, la política otorga acceso a todos los IAM principales de la cuenta que contiene el recurso, con sujeción a las restricciones que imponga un Condition elemento, si existe. Las instrucciones Deny explícitas de cualquier política que se aplique a la entidad principal de llamada anulan los permisos otorgados por esta política. Sin embargo, una instrucción Deny implícita (es decir, en ausencia de una instrucción Allow explícita) en cualquier política de identidad, política de límite de permisos o política de sesión aplicable no da como resultado una instrucción Deny a las entidades principales a las que dicha política basada en recursos concede acceso a una determinada acción.

Si este comportamiento no es deseable en su caso, puede limitarlo añadiendo una instrucción Deny explícita a una política de identidad, límite de permisos o política de sesión que afecte a los roles y usuarios pertinentes.

Permisos administrados

Los permisos administrados definen qué acciones pueden realizar las entidades principales, y en qué condiciones, para los tipos de recursos admitidos en un recurso compartido. Al crear un recurso compartido, debe especificar qué permiso administrado desea usar para cada tipo de recurso que esté incluido en el recurso compartido. Un permiso administrado enumera el conjunto actions y las condiciones que los principales pueden cumplir con el recurso compartido que utilizan. AWS RAM

Puede adjuntar un solo permiso administrado por cada tipo de recurso de un recurso compartido. No puede crear un recurso compartido en el que algunos recursos de un determinado tipo usen un permiso administrado y otros recursos del mismo tipo usen un permiso administrado diferente. Para ello, tendría que crear dos recursos compartidos diferentes y dividir los recursos entre ellos, atribuyendo a cada conjunto un permiso administrado diferente. Existen dos tipos diferentes de permisos administrados:

AWS permisos gestionados

AWS Los permisos gestionados los crean y mantienen los permisos, AWS y los conceden para situaciones comunes de los clientes. AWS RAM define al menos un permiso AWS administrado para cada tipo de recurso compatible. Algunos tipos de recursos admiten más de un permiso AWS administrado, con un permiso administrado designado como AWS predeterminado. El permiso AWS administrado predeterminado está asociado a menos que especifique lo contrario.

Permisos administrados por el cliente

Los permisos administrados por el cliente son permisos administrados que usted crea y mantiene especificando con precisión qué acciones se pueden realizar en los recursos que se comparten con AWS RAM y en qué condiciones. Por ejemplo, quieres limitar el acceso de lectura a tus grupos de Amazon VPC IP Address Manager (IPAM), que te ayudan a gestionar tus direcciones IP a escala. Puede crear permisos administrados por el cliente para que sus desarrolladores asignen direcciones IP, pero no ver el rango de direcciones IP que asignan otras cuentas de desarrollador. Puede seguir las prácticas recomendadas de privilegio mínimo para conceder únicamente los permisos necesarios para realizar tareas en los recursos compartidos.

Puede definir su propio permiso para un tipo de recurso de un recurso compartido, con la opción de añadir condiciones tales como claves de contexto globales y claves específica de servicio para especificar las condiciones en las que las entidades principales tienen acceso al recurso. Estos permisos se pueden usar en uno o más AWS RAM recursos compartidos. Los permisos administrados por el cliente son específicos de una región.

AWS RAM utiliza los permisos gestionados como entrada para crear las políticas basadas en recursos para los recursos que compartes.

Versión del permiso administrado

Cualquier cambio en un permiso administrado se representa como una nueva versión de ese permiso administrado. La nueva versión es la predeterminada para todos los recursos compartidos nuevos. Cada permiso administrado siempre tiene una versión designada como versión predeterminada. Al crear o AWS crear una nueva versión de permisos administrados, debe actualizar de forma explícita el permiso administrado para cada recurso compartido existente. Puede evaluar los cambios antes de aplicarlos al recurso compartido en este paso. Todos los recursos compartidos nuevos utilizarán automáticamente la nueva versión del permiso administrado para el tipo de recurso correspondiente.

AWS versiones de permisos gestionados: AWS gestiona todos los cambios en los permisos AWS gestionados. Estos cambios abordan nuevas funcionalidades o eliminan deficiencias detectadas. Solo puede aplicar la versión predeterminada de un permiso administrado a sus recursos compartidos.
Versiones de los permisos administrados por el cliente: Usted se encarga de gestionar todos los cambios en los permisos administrados por el cliente. Puede crear una nueva versión predeterminada, establecer una versión anterior como predeterminada o eliminar las versiones que ya no estén asociadas a ningún recurso compartido. Puede haber hasta cinco versiones de cada permiso administrado por el cliente.

Al crear o actualizar un recurso compartido, solo puede adjuntar la versión predeterminada del permiso administrado especificado. Para obtener más información, consulte Actualizar los permisos administrados de AWS a una versión más reciente.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Introducción

Compartir recursos de su propiedad