Partage de ressources Partage de compte Principaux consommateurs Politique basée sur une ressource Autorisations gérées Version d'autorisation gérée

Termes et concepts pour AWS RAM

Les concepts suivants expliquent comment vous pouvez utiliser AWS Resource Access Manager (AWS RAM) pour partager vos ressources.

Vous partagez des ressources en AWS RAM créant un partage de ressources. Un partage de ressources comporte les trois éléments suivants :

Liste d'une ou de plusieurs AWS ressources à partager.
Liste d'un ou de plusieurs principaux auxquels l'accès aux ressources est accordé.
Une autorisation gérée pour chaque type de ressource que vous incluez dans le partage. Chaque autorisation gérée s'applique à toutes les ressources de ce type dans ce partage de ressources.

Une fois que AWS RAM vous avez créé un partage de ressources, les principaux spécifiés dans le partage de ressources peuvent avoir accès aux ressources du partage.

Si vous activez le AWS RAM partage avec AWS Organizations et que les principaux avec lesquels vous partagez font partie de la même organisation que le compte de partage, ces principaux peuvent y accéder dès que l'administrateur de leur compte leur accorde l'autorisation d'utiliser les ressources conformément à une politique d'autorisation AWS Identity and Access Management (IAM).
Si vous n'activez pas le AWS RAM partage avec les Organisations, vous pouvez toujours partager des ressources avec Comptes AWS des membres de votre organisation. L'administrateur du compte consommateur reçoit une invitation à rejoindre le partage de ressources, et il doit accepter l'invitation avant que les principaux spécifiés dans le partage de ressources puissent accéder aux ressources partagées.
Vous pouvez également partager avec des comptes extérieurs à votre organisation, si le type de ressource le permet. L'administrateur du compte consommateur reçoit une invitation à rejoindre le partage de ressources, et il doit accepter l'invitation avant que les principaux spécifiés dans le partage de ressources puissent accéder aux ressources partagées. Pour plus d'informations sur les types de ressources compatibles avec ce type de partage, consultez Ressources partageables AWS la colonne Peut partager avec des comptes extérieurs à son organisation.

Le compte de partage contient la ressource qui est partagée et dans laquelle l' AWS RAM administrateur crée le partage de AWS ressources en utilisant AWS RAM.

Un AWS RAM administrateur est un administrateur principal IAM autorisé à créer et à configurer des partages de ressources dans le Compte AWS. Comme AWS RAM cela fonctionne en associant une politique basée sur les ressources aux ressources d'un partage de ressources, l' AWS RAM administrateur doit également être autorisé à appeler l'PutResourcePolicyopération Service AWS pour chaque type de ressource inclus dans un partage de ressources.

Principaux consommateurs

Le compte consommateur est le compte Compte AWS sur lequel une ressource est partagée. Le partage de ressources peut spécifier un compte entier comme principal ou, pour certains types de ressources, des rôles individuels ou des utilisateurs du compte. Pour plus d'informations sur les types de ressources compatibles avec ce type de partage, consultez Ressources partageables AWS et consultez la colonne Peut partager avec les rôles et utilisateurs IAM.

AWS RAM soutient également les principaux fournisseurs de services en tant que consommateurs de parts de ressources. Pour plus d'informations sur les types de ressources compatibles avec ce type de partage, consultez Ressources partageables AWS et consultez la colonne Peut être partagée avec les responsables du service.

Les principaux du compte consommateur ne peuvent effectuer que les actions autorisées par les deux autorisations suivantes :

Les autorisations gérées associées au partage de ressources. Ils spécifient les autorisations maximales qui peuvent être accordées aux principaux du compte consommateur.
Les politiques basées sur l'identité IAM associées à des rôles ou utilisateurs individuels par l'administrateur IAM dans le compte consommateur. Ces politiques doivent accorder Allow l'accès à des actions spécifiées et à l'Amazon Resource Name (ARN) d'une ressource dans le compte de partage.

AWS RAM prend en charge les principaux types d'IAM suivants en tant que consommateurs de partages de ressources :

Autre Compte AWS : le partage des ressources met les ressources incluses dans le compte de partage à la disposition du compte consommateur.
Rôles IAM individuels ou utilisateurs d'un autre compte : certains types de ressources prennent en charge le partage direct avec des rôles ou utilisateurs IAM individuels. Spécifiez ce type principal par son ARN.
- Rôle IAM — arn:aws:iam::123456789012:role/rolename
- Utilisateur IAM — arn:aws:iam::123456789012:user/username
Service principal : partagez une ressource avec un AWS service pour autoriser ce dernier à accéder à un partage de ressources. Le partage du capital de AWS service permet à un service de prendre des mesures en votre nom afin d'alléger la charge opérationnelle.

Pour partager avec un principal de service, choisissez d'autoriser le partage avec n'importe qui, puis, sous Sélectionner le type de principal, choisissez Service principal dans la liste déroulante. Spécifiez le nom du directeur du service au format suivant :
- service-id.amazonaws.com
Pour atténuer le risque de confusion entre les adjoints, la politique en matière de ressources indique l'ID de compte du propriétaire de la ressource dans la clé de aws:SourceAccount condition.
Comptes d'une organisation : si le compte de partage est géré par AWS Organizations, le partage de ressources peut spécifier l'identifiant de l'organisation à partager avec tous les comptes de l'organisation. Le partage de ressources peut également spécifier un ID d'unité organisationnelle (UO) à partager avec tous les comptes de cette UO. Un compte de partage ne peut partager qu'avec sa propre organisation ou une unité d'organisation IDs au sein de sa propre organisation. Spécifiez les comptes d'une organisation en fonction de l'ARN de l'organisation ou de l'unité d'organisation.
- Tous les comptes d'une organisation — Voici un exemple d'ARN d'une organisation dans AWS Organizations :
  
  arn:aws:organizations::123456789012:organization/o-<orgid>
- Tous les comptes d'une unité organisationnelle : voici un exemple d'ARN d'ID d'unité d'organisation :
  
  arn:aws:organizations::123456789012:organization/o-<orgid>/ou-<rootid>-<ouid>
Important
Lorsque vous partagez avec une organisation ou une unité d'organisation, et que cette étendue inclut le compte propriétaire du partage de ressources, tous les principaux du compte de partage ont automatiquement accès aux ressources du partage. L'accès accordé est défini par les autorisations gérées associées au partage. Cela est dû au fait que la politique basée sur les ressources qui AWS RAM s'attache à chaque ressource du partage utilise. "Principal": "*" Pour de plus amples informations, veuillez consulter Implications de l'utilisation "Principal": "*" dans une politique basée sur les ressources.
Les directeurs des autres comptes consommateurs n'ont pas immédiatement accès aux ressources de l'action. Les administrateurs des autres comptes doivent d'abord associer des politiques d'autorisation basées sur l'identité aux principaux appropriés. Ces politiques doivent accorder l'Allowaccès aux ressources individuelles ARNs du partage de ressources. Les autorisations définies dans ces politiques ne peuvent pas dépasser celles spécifiées dans l'autorisation gérée associée au partage de ressources.

Politique basée sur une ressource

Les politiques basées sur les ressources sont des documents texte JSON qui implémentent le langage de politique IAM. Contrairement aux politiques basées sur l'identité que vous attachez au principal, telles qu'un rôle ou un utilisateur IAM, vous attachez des politiques basées sur les ressources à la ressource. AWS RAM rédige des politiques basées sur les ressources en votre nom sur la base des informations que vous fournissez pour votre partage de ressources. Vous devez spécifier un élément Principal de politique qui détermine qui peut accéder à la ressource. Pour plus d'informations, consultez les sections Politiques basées sur l'identité et politiques basées sur les ressources dans le Guide de l'utilisateur IAM.

Les politiques basées sur les ressources générées par AWS RAM sont évaluées en même temps que tous les autres types de politiques IAM. Cela inclut toutes les politiques basées sur l'identité IAM attachées aux principaux qui tentent d'accéder à la ressource, et les politiques de contrôle des services (SCPs) correspondantes peuvent AWS Organizations s'appliquer au. Compte AWS Les politiques basées sur les ressources générées par AWS RAM participent à la même logique d'évaluation des politiques que toutes les autres politiques IAM. Pour plus de détails sur l'évaluation des politiques et sur la manière de déterminer les autorisations qui en résultent, consultez la section Logique d'évaluation des politiques dans le guide de l'utilisateur IAM.

AWS RAM fournit une expérience de partage de ressources simple et sécurisée en fournissant des politiques basées sur les ressources easy-to-use abstraites.

Pour les types de ressources qui prennent en charge les politiques basées sur les ressources, construit et gère AWS RAM automatiquement les politiques basées sur les ressources pour vous. Pour une ressource donnée, AWS RAM élabore la politique basée sur les ressources en combinant les informations provenant de tous les partages de ressources qui incluent cette ressource. Prenons l'exemple d'un pipeline Amazon SageMaker AI que vous partagez en utilisant AWS RAM et en incluant deux partages de ressources différents. Vous pouvez utiliser un partage de ressources pour fournir un accès en lecture seule à l'ensemble de votre organisation. Vous pouvez ensuite utiliser l'autre partage de ressources pour n'accorder que des autorisations d'exécution de l' SageMaker IA à un seul compte. AWS RAM combine automatiquement ces deux ensembles d'autorisations différents en une seule politique de ressources comportant plusieurs instructions. Il attache ensuite la politique combinée basée sur les ressources à la ressource du pipeline. Vous pouvez consulter cette politique de ressources sous-jacente en appelant le GetResourcePolicyopération. Services AWS utilisez ensuite cette politique basée sur les ressources pour autoriser tout principal qui tente d'effectuer une action sur la ressource partagée.

Bien que vous puissiez créer manuellement les politiques basées sur les ressources et les associer à vos ressources en appelantPutResourcePolicy, nous vous recommandons de les utiliser AWS RAM car elles offrent les avantages suivants :

Découvrabilité pour les consommateurs de partages : si vous partagez des ressources en utilisant AWS RAM, les utilisateurs peuvent voir toutes les ressources partagées avec eux directement dans la console du service propriétaire des ressources et dans les opérations d'API comme si ces ressources se trouvaient directement dans le compte de l'utilisateur. Par exemple, si vous partagez un AWS CodeBuild projet avec un autre compte, les utilisateurs du compte consommateur peuvent voir le projet dans la CodeBuild console et dans les résultats des opérations d' CodeBuild API effectuées. Les ressources partagées en joignant directement une politique basée sur les ressources ne sont pas visibles de cette façon. Au lieu de cela, vous devez découvrir et faire référence explicitement à la ressource par son ARN.
Facilité de gestion pour les propriétaires d'actions : si vous partagez des ressources en utilisant AWS RAM, les propriétaires des ressources du compte de partage peuvent voir de manière centralisée quels autres comptes ont accès à leurs ressources. Si vous partagez une ressource à l'aide d'une politique basée sur les ressources, vous ne pouvez voir les comptes consommateurs qu'en examinant la politique relative aux ressources individuelles dans la console de service ou l'API correspondante.
Efficacité — Si vous partagez des ressources en utilisant AWS RAM, vous pouvez partager plusieurs ressources et les gérer en tant qu'unité. Les ressources partagées en utilisant uniquement des politiques basées sur les ressources nécessitent des politiques individuelles associées à chaque ressource que vous partagez.
Simplicité — Grâce à AWS RAM cela, vous n'avez pas besoin de comprendre le langage de politique IAM basé sur JSON. AWS RAM fournit des autorisations ready-to-use AWS gérées que vous pouvez choisir d'associer à vos partages de ressources.

En utilisant AWS RAM, vous pouvez même partager certains types de ressources qui ne sont pas encore compatibles avec les politiques basées sur les ressources. Pour ces types de ressources, génère AWS RAM automatiquement une politique basée sur les ressources en tant que représentation des autorisations réelles. Les utilisateurs peuvent consulter cette représentation en appelant GetResourcePolicy. Cela inclut les types de ressources suivants :

Amazon Aurora — Clusters de bases de données
Amazon EC2 — réservations de capacité et hébergeurs dédiés
AWS License Manager — Configurations de licence
AWS Outposts — Tables de routage, avant-postes et sites des passerelles locales
Amazon Route 53 — Règles de transfert
Amazon Virtual Private Cloud : IPv4 adresses, listes de préfixes, sous-réseaux, cibles miroir du trafic, passerelles de transit et domaines de multidiffusion de passerelles de transit appartenant au client

Exemples de politiques basées sur les ressources AWS RAM générées

Si vous partagez une EC2 ressource d'image Image Builder avec un compte individuel, AWS RAM génère une politique semblable à l'exemple suivant et l'associe à toutes les ressources d'image incluses dans le partage de ressources.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}

Si vous partagez une EC2 ressource d'image Image Builder avec un rôle ou un utilisateur IAM dans un autre Compte AWS, AWS RAM génère une politique semblable à l'exemple suivant et l'attache à toutes les ressources d'image incluses dans le partage de ressources.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MySampleRole"
      },
      "Action": [
          "imagebuilder:GetImage",
          "imagebuilder:ListImages",
      ],
      "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
    }
  ]
}

Si vous partagez une EC2 ressource d'image Image Builder avec tous les comptes d'une organisation ou avec les comptes d'une unité d'organisation, AWS RAM génère une politique semblable à l'exemple suivant et l'associe à toutes les ressources d'image incluses dans le partage de ressources.

Note

Cette politique utilise "Principal": "*" puis utilise l'"Condition"élément pour restreindre les autorisations aux identités qui correspondent à celles spécifiéesPrincipalOrgID. Pour de plus amples informations, veuillez consulter Implications de l'utilisation "Principal": "*" dans une politique basée sur les ressources.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-123456789"
                }
            }
        }
    ]
}

Implications de l'utilisation "Principal": "*" dans une politique basée sur les ressources

Lorsque vous "Principal": "*" incluez une politique basée sur les ressources, celle-ci accorde l'accès à tous les principaux IAM du compte contenant la ressource, sous réserve des restrictions imposées par un Condition élément, s'il existe. DenyLes déclarations explicites contenues dans toute politique qui s'applique au principal appelant remplacent les autorisations accordées par cette politique. Cependant, un élément implicite Deny (c'est-à-dire l'absence d'expliciteAllow) dans les politiques d'identité, les politiques de limites d'autorisations ou les politiques de session applicables n'autorise pas les principaux Deny à accéder à une action par le biais d'une telle politique basée sur les ressources.

Si ce comportement n'est pas souhaitable pour votre scénario, vous pouvez le limiter en ajoutant une Deny déclaration explicite à une politique d'identité, à une limite d'autorisations ou à une politique de session qui affecte les rôles et les utilisateurs concernés.

Autorisations gérées

Les autorisations gérées définissent les actions que les principaux peuvent effectuer et dans quelles conditions sur les types de ressources pris en charge dans un partage de ressources. Lorsque vous créez un partage de ressources, vous devez spécifier l'autorisation gérée à utiliser pour chaque type de ressource inclus dans le partage de ressources. Une autorisation gérée répertorie l'ensemble actions et les conditions que les principaux peuvent exécuter avec la ressource partagée à l'aide AWS RAM de celle-ci.

Vous ne pouvez associer qu'une seule autorisation gérée pour chaque type de ressource dans un partage de ressources. Vous ne pouvez pas créer un partage de ressources dans lequel certaines ressources d'un certain type utilisent une autorisation gérée et d'autres ressources du même type utilisent une autorisation gérée différente. Pour ce faire, vous devez créer deux partages de ressources différents et répartir les ressources entre eux, en attribuant à chaque ensemble une autorisation de gestion différente. Il existe deux types d'autorisations gérées :

AWS autorisations gérées

AWS les autorisations gérées sont créées et gérées par AWS et accordent des autorisations pour les scénarios clients courants. AWS RAM définit au moins une autorisation AWS gérée pour chaque type de ressource pris en charge. Certains types de ressources prennent en charge plusieurs autorisations AWS gérées, une autorisation gérée étant désignée AWS par défaut. L'autorisation AWS gérée par défaut est associée, sauf indication contraire de votre part.

Autorisations gérées par le client

Les autorisations gérées par le client sont des autorisations gérées que vous créez et gérez en spécifiant précisément quelles actions peuvent être effectuées et dans quelles conditions avec des ressources partagées AWS RAM. Par exemple, vous souhaitez limiter l'accès en lecture à vos pools Amazon VPC IP Address Manager (IPAM), qui vous aident à gérer vos adresses IP à grande échelle. Vous pouvez créer des autorisations gérées par le client pour que vos développeurs puissent attribuer des adresses IP, mais vous ne pouvez pas consulter la plage d'adresses IP attribuées par d'autres comptes de développeurs. Vous pouvez suivre la meilleure pratique du moindre privilège, en n'accordant que les autorisations requises pour effectuer des tâches sur des ressources partagées.

Vous définissez votre propre autorisation pour un type de ressource dans un partage de ressources avec la possibilité d'ajouter des conditions telles que des clés contextuelles globales et des clés spécifiques au service afin de spécifier les conditions dans lesquelles les principaux ont accès à la ressource. Ces autorisations peuvent être utilisées dans un ou plusieurs AWS RAM partages. Les autorisations gérées par le client sont spécifiques à la région.

AWS RAM utilise les autorisations gérées comme entrée pour créer les politiques basées sur les ressources pour les ressources que vous partagez.

Version d'autorisation gérée

Toute modification apportée à une autorisation gérée est représentée comme une nouvelle version de cette autorisation gérée. La nouvelle version est la version par défaut pour tous les nouveaux partages de ressources. Pour chaque autorisation gérée, une version est toujours désignée comme version par défaut. Lorsque vous créez ou AWS créez une nouvelle version d'autorisation gérée, vous devez explicitement mettre à jour l'autorisation gérée pour chaque partage de ressources existant. Vous pouvez évaluer les modifications avant de les appliquer à votre partage de ressources au cours de cette étape. Tous les nouveaux partages de ressources utiliseront automatiquement la nouvelle version de l'autorisation gérée pour le type de ressource correspondant.

AWS versions d'autorisations gérées: AWS gère toutes les modifications apportées aux autorisations AWS gérées. Ces modifications répondent à de nouvelles fonctionnalités ou suppriment les défauts découverts. Vous ne pouvez appliquer la version d'autorisation gérée par défaut qu'à vos partages de ressources.
Versions d'autorisations gérées par le client: Vous gérez toutes les modifications apportées aux autorisations gérées par les clients. Vous pouvez créer une nouvelle version par défaut, définir une ancienne version comme version par défaut ou supprimer des versions qui ne sont plus associées à des partages de ressources. Chaque autorisation gérée par le client peut avoir jusqu'à cinq versions.

Lorsque vous créez ou mettez à jour un partage de ressources, vous ne pouvez joindre que la version par défaut de l'autorisation gérée spécifiée. Pour de plus amples informations, veuillez consulter Mise à jour des autorisations AWS gérées vers une version plus récente.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Premiers pas

Partage de vos ressources