¿Qué es AWS Resource Access Manager? - AWS Resource Access Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué es AWS Resource Access Manager?

AWS Resource Access Manager(AWS RAM) le ayuda a compartir sus recursos de forma segura entre Cuentas de AWS, dentro de su organización o de unidades organizativas (OU), y con roles y usuarios de AWS Identity and Access Management (IAM), para los tipos de recursos compatibles. Si tiene varias Cuentas de AWS, puede crear un recurso una vez y usar AWS RAM para que dichos recursos estén disponibles para su uso por parte de otras cuentas. Si su cuenta está administrada por AWS Organizations, puede compartir recursos con todas las demás cuentas de la organización o solo con las cuentas que pertenezcan a una o más unidades organizativas (OU) específicas. También puede compartirlos con Cuentas de AWS específicas por ID de cuenta, independientemente de si la cuenta forma parte de una organización. Ciertos tipos de recursos admitidos también le permiten compartir con roles y usuarios de IAM específicos.

Descripción general de los vídeos

El siguiente vídeo proporciona una breve introducción a AWS RAM y describe cómo crear un recurso compartido. Para obtener más información, consulte Crear un recurso compartido en AWS RAM.

El siguiente vídeo le muestra cómo aplicar permisos administrados de AWS a sus recursos de AWS. Para obtener más información, consulte Administrar permisos en AWS RAM.

En este vídeo se ofrece una demostración de cómo crear y asociar permisos administrados por el cliente siguiendo las prácticas recomendadas de privilegio mínimo. Para obtener más información, consulte, Crear y usar permisos administrados por el cliente en AWS RAM.

Ventajas de AWS RAM

¿Por qué utilizar AWS RAM? Ofrece las siguientes ventajas:

  • Reduce la sobrecarga operativa: cree un recurso una vez y luego use AWS RAM para compartir dicho recurso con otras cuentas. De esta forma, se elimina la necesidad de aprovisionar recursos duplicados en cada cuenta, lo que reduce la sobrecarga operativa. Dentro de la cuenta propietaria del recurso, AWS RAM simplifica la concesión de acceso a todos los roles y usuarios de esa cuenta sin necesidad de usar políticas de permisos basadas en la identidad.

  • Proporciona seguridad y coherencia: simplifique la administración de la seguridad de sus recursos compartidos utilizando un único conjunto de políticas y permisos. Si, en lugar de eso, creara recursos duplicados en todas sus cuentas independientes, tendría que implementar políticas y permisos idénticos y, después, tendría que mantenerlos de forma idéntica en todas esas cuentas. En su lugar, todos los usuarios de un recurso compartido de AWS RAM se administran mediante un único conjunto de políticas y permisos. AWS RAMofrece una experiencia coherente para compartir diferentes tipos de recursos de AWS.

  • Proporciona visibilidad y capacidades de auditoría: consulte los detalles de uso de sus recursos compartidos mediante la integración de AWS RAM con Amazon CloudWatch y AWS CloudTrail. AWS RAM proporciona una visibilidad completa de los recursos compartidos y las cuentas.

¿Qué hay del acceso entre cuentas con políticas basadas en recursos?

Puede compartir algunos tipos de recursos de AWS con otras Cuentas de AWS adjuntando una política basada en recursos que identifique a las entidades principales de AWS Identity and Access Management (IAM) (funciones y usuarios de IAM) externas a su Cuenta de AWS. Sin embargo, compartir un recurso adjuntando una política no permite aprovechar las ventajas adicionales que ofrece AWS RAM. Al usar AWS RAM, se beneficiará de las siguientes características:

  • Puede compartir con una organización o una unidad organizativa (OU) sin tener que enumerar cada uno de los ID de Cuenta de AWS.

  • Los usuarios pueden ver los recursos que se comparten con ellos directamente en la consola de Servicio de AWS que los origina y en las operaciones de la API, como si tales recursos estuvieran directamente en la cuenta del usuario. Por ejemplo, si usa AWS RAM para compartir una subred de Amazon VPC con otra cuenta, los usuarios de dicha cuenta pueden ver la subred en la consola de Amazon VPC y en los resultados de las operaciones de la API de Amazon VPC realizadas en esa cuenta. Los recursos compartidos adjuntando una política basada en recursos no están visibles de este modo; en su lugar, debe detectar el recurso y hacer referencia a él explícitamente por su nombre de recurso de Amazon (ARN).

  • Los propietarios de un recurso pueden ver qué entidades principales tienen acceso a cada recurso individual que han compartido.

  • Si comparte recursos con una cuenta que no forma parte de su organización, AWS RAM inicia un proceso de invitación. El destinatario debe aceptar la invitación para que la entidad principal pueda acceder a los recursos compartidos. Una vez que activa la capacidad para compartir dentro de la organización, compartir con las cuentas de la organización no requiere invitación.

Si tiene recursos que ha compartido utilizando una política de permisos basada en recursos, puedes promocionar tales recursos a recursos totalmente administrados de AWS RAM de la siguiente manera:

Cómo funciona el uso compartido de recursos

Cuando comparte un recurso de la cuenta propietaria con otra Cuenta de AWS, la cuenta consumidora, está concediendo acceso al recurso compartido a las entidades principales de la cuenta consumidora. Todas las políticas y permisos que se aplican a roles y usuarios de la cuenta consumidora se aplican también al recurso compartido. Los recursos del recurso compartido parecen recursos nativos de las Cuentas de AWS con las que los ha compartido.

Puede compartir tanto recursos globales como regionales. Para obtener más información, consulte Compartir recursos regionales frente a recursos globales.

Compartir sus recursos

Con AWS RAM, puede compartir recursos de su propiedad creando un recurso compartido. Para crear un recurso compartido, especifique lo siguiente:

  • La Región de AWS en la que desea crear el recurso compartido. En la consola, selecciónela en el menú desplegable Región que aparece en la esquina superior derecha de la consola. En la AWS CLI, utilice el parámetro --region.

    • Un recurso compartido solo puede contener recursos regionales que pertenezcan a la misma Región de AWS que el recurso compartido.

    • Un recurso compartido puede contener recursos globales solo si se encuentra en la región de origen designada para los recursos globales, Este de EE. UU. (Norte de Virginia), us-east-1.

  • Asigne un nombre al recurso compartido.

  • La lista de recursos a los que desea conceder acceso como parte de este recurso compartido.

  • Las entidades principales a las que concede acceso al recurso compartido. Las entidades principales pueden ser Cuentas de AWS individuales, las cuentas de una organización o una unidad organizativa (OU) de AWS Organizations, o bien roles o usuarios individuales de AWS Identity and Access Management (IAM).

    nota

    No todos los tipos de recursos se pueden compartir con roles y usuarios de IAM. Para obtener información sobre los recursos que puede compartir con estas entidades principales, consulte Recursos que se pueden compartir AWS.

  • Un permiso administrado que asociar a cada tipo de recurso incluido en el recurso compartido. El permiso administrado determina lo que las entidades principales de las demás cuentas pueden hacer en relación con los recursos del recurso compartido.

    El comportamiento del permiso depende del tipo de entidad principal:

    • Si la entidad principal está en una cuenta diferente de la cuenta propietaria del recurso, los permisos adjuntos al recurso compartido serán los permisos máximos disponibles para conceder a roles y usuarios de esas cuentas. El administrador de dichas cuentas debe entonces conceder acceso a roles y usuarios individuales al recurso compartido mediante políticas de permisos basadas en la identidad de IAM. Los permisos concedidos en esas políticas no pueden superar los definidos en los permisos adjuntos al recurso compartido.

La cuenta propietaria de los recursos conserva la propiedad total de los recursos que comparte.

Usar recursos compartidos

Cuando el propietario de un recurso lo comparte con su cuenta, puede obtener acceso al recurso compartido del mismo modo que lo haría si este fuera propiedad de su cuenta. Puede acceder al recurso a través de la consola de servicio pertinente o mediante los comandos de la AWS CLI y las operaciones de API. Las operaciones de API que las entidades principales de su cuenta pueden realizar varían en función del tipo de recurso y se especifican en el permiso AWS RAM adjunto al recurso compartido. También se siguen aplicando todas las políticas de IAM y políticas de control del servicios configuradas en su cuenta, lo que le permite aprovechar las inversiones existentes en controles de seguridad y gobernanza.

Cuando accede a un recurso compartido utilizando el servicio de ese recurso, tiene las mismas capacidades y limitaciones que la Cuenta de AWS propietaria del recurso.

  • Si el recurso es regional, solo podrá acceder a él desde la Región de AWS en la que existe la cuenta propietaria.

  • Si el recurso es global, puede acceder a él desde cualquier Región de AWS compatible con la consola de servicio y las herramientas del recurso. Puede ver y administrar el recurso compartido y sus recursos globales en la consola y en las herramientas de AWS RAM únicamente en la región de origen designada, Este de EE. UU. (Norte de Virginia), us-east-1.

Acceso a AWS RAM

Puede trabajar con AWS RAM de cualquiera de las siguientes formas:

Consola de AWS RAM

AWS RAM cuenta con una interfaz de usuario basada en web, la consola de AWS RAM. Si se ha registrado con una cuenta de Cuenta de AWS, puede acceder a la consola de AWS RAM iniciando sesión en la AWS Management Console y seleccionando AWS RAM en la página de inicio de la consola.

También puede usar un navegador para ir directamente a la consola de AWS RAM. Si todavía no se ha registrado, se le pedirá que lo haga antes de que aparezca la consola.

AWS CLI y herramientas para Windows PowerShell

La AWS CLI y AWS Tools for PowerShell proporcionan acceso directo a las operaciones de API pública de AWS RAM. AWS admite estas herramientas en Windows, macOS y Linux. Para obtener más información acerca de cómo empezar, consulte la Guía del usuario deAWS Command Line Interface o la Guía del usuario AWS Tools for Windows PowerShell. Para obtener más información acerca de los comandos de AWS RAM, consulte la Referencia de comandos de AWS CLI o la Referencia de Cmdlet de AWS Tools for Windows PowerShell.

SDK de AWS

AWS cuenta con comandos de API para una amplia gama de lenguajes de programación. Para obtener más información acerca de cómo empezar a trabajar, consulte la Guía de referencia de las herramientas y los SDK de AWS.

API de consulta

Si no usa uno de los lenguajes de programación compatibles, la API de consulta HTTPS de AWS RAM le proporciona acceso programático a AWS RAM y AWS. Con la API de AWS RAM, puede emitir solicitudes HTTPS directamente al servicio. Cuando use la API de AWS RAM, debe incluir código para firmar digitalmente las solicitudes utilizando sus credenciales. Para obtener más información, consulte la referencia de la API de AWS RAM.

Precios de AWS RAM

No se aplican cargos adicionales por usar AWS RAM ni por crear recursos compartidos o compartir recursos entre cuentas. Los cargos por el uso de recursos varían en función del tipo de recurso. Para obtener más información acerca de cómo AWS factura los recursos que se comparten, consulte la documentación correspondiente al servicio propietario del recurso.

Conformidad y estándares internacionales

PCI DSS

AWS RAM admite el procesamiento, el almacenamiento y la transmisión de datos de tarjetas de crédito por parte de un comerciante o proveedor de servicios y se ha validado por estar conforme con el Estándar de Seguridad de Datos (DSS) de la industria de tarjetas de pago (PCI).

Para obtener más información acerca de PCI DSS, incluido cómo solicitar una copia del Paquete de conformidad con PCI de AWS, consulte PCI DSS Nivel 1.

FedRAMP

AWS RAM está autorizado como FedRAMP Moderate en las siguientes Regiones de AWS: Este de EE. UU. (Norte de Virginia), Este de EE. UU. (Ohio), Oeste de EE. UU. (Norte de California) y Oeste de EE. UU (Oregón).

AWS RAM está autorizado como FedRAMP High en las siguientes Regiones de AWS: AWS GovCloud (Oeste de EE. UU.) y AWS GovCloud (Este de EE. UU.).

El Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP) es un amplio programa gubernamental de EE. UU. que ofrece un enfoque estandarizado para la supervisión continua, la autorización y la evaluación de la seguridad de servicios y productos en la nube.

Para obtener más información acerca de la conformidad con FedRAMP, consulte FedRAMP.

SOC e ISO

AWS RAM se puede usar para cargas de trabajo sujetas a conformidad con la entidad de Control de Organizaciones de Servicio (SOC, Service Organisation Control) y con las normas ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701 de la Organización Internacional de Normalización (ISO, International Standardization Organization). Los clientes de los sectores financiero, de la salud y otros sectores regulados pueden obtener información sobre los procesos y controles de seguridad que protegen los datos de los clientes, y que está disponible en los informes de SOC y en los certificados ISO y CSA STAR de AWS en AWS Artifact.

Para obtener más información sobre conformidad, consulte SOC.

Para obtener más información sobre la conformidad ISO, consulte ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701.