Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS Resource Access Manager
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l’efficacité de notre sécurité dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à AWS Resource Access Manager (AWS RAM), consultez [Services AWS concernés par le programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation AWS RAM. Les rubriques suivantes expliquent comment procéder à la configuration AWS RAM pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos AWS RAM ressources.
**Topics**
+ [Protection des données dans AWS Resource Access Manager](data-protection.md)
+ [Gestion des identités et des accès pour AWS Resource Access Manager](security-iam.md)
+ [Connexion et surveillance AWS RAM](security-monitoring.md)
+ [Validation de conformité pour AWS Resource Access Manager](compliance-validation.md)
+ [Résilience dans AWS Resource Access Manager](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans AWS Resource Access Manager](infrastructure-security.md)
+ [Accès AWS Resource Access Manager via un point de terminaison d'interface (AWS PrivateLink)](vpc-interface-endpoints.md)
# Protection des données dans AWS Resource Access Manager
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans AWS Resource Access Manager. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog [Modèle de responsabilité partagée d’AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ SSL/TLS À utiliser pour communiquer avec AWS les ressources. Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec AWS RAM ou d'autres Services AWS utilisateurs de la console, de l'API ou AWS SDKs. AWS CLI Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
# Gestion des identités et des accès pour AWS Resource Access Manager
Gestion des identités et des accès AWS (IAM) est un AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs d'IAM contrôlent les personnes qui peuvent être *authentifiées* (connectées) et *autorisées (autorisées*) à utiliser AWS les ressources. En utilisant IAM, vous créez des principes, tels que des rôles, des utilisateurs et des groupes dans votre. Compte AWS Vous contrôlez les autorisations dont disposent ces principaux pour effectuer des tâches à l'aide de AWS ressources. Vous pouvez utiliser IAM sans frais supplémentaires. Pour plus d'informations sur la gestion et la création de politiques IAM personnalisées, consultez la section [Gestion des politiques IAM dans le Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) de l'utilisateur *IAM*.
**Topics**
+ [Comment AWS RAM fonctionne avec IAM](security-iam-policies.md)
+ [AWS politiques gérées pour AWS Resource Access Manager](security-iam-awsmanpol.md)
+ [Utilisation de rôles liés à un service pour AWS RAM](using-service-linked-roles.md)
+ [Exemples de politiques IAM pour AWS RAM](security-iam-policies-examples.md)
+ [Exemples de politiques de contrôle des services pour AWS Organizations et AWS RAM](security-scp.md)
+ [Désactiver le partage de ressources avec AWS Organizations](security-disable-sharing-with-orgs.md)
# Comment AWS RAM fonctionne avec IAM
Par défaut, les responsables IAM ne sont pas autorisés à créer ou à modifier AWS RAM des ressources. Pour permettre aux responsables IAM de créer ou de modifier des ressources et d'effectuer des tâches, vous devez effectuer l'une des étapes suivantes. Ces actions autorisent l'utilisation de ressources et d'actions d'API spécifiques.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
AWS RAM fournit plusieurs politiques AWS gérées que vous pouvez utiliser pour répondre aux besoins de nombreux utilisateurs. Pour de plus amples informations, veuillez consulter [AWS politiques gérées pour AWS Resource Access Manager](security-iam-awsmanpol.md).
Si vous avez besoin d'un contrôle plus précis sur les autorisations que vous accordez à vos utilisateurs, vous pouvez créer vos propres politiques dans la console IAM. Pour plus d'informations sur la création de politiques et leur association à vos rôles et utilisateurs IAM, consultez la section [Politiques et autorisations dans IAM dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) le Guide de l'*Gestion des identités et des accès AWS utilisateur*.
Les sections suivantes fournissent les détails AWS RAM spécifiques à la création d'une politique d'autorisation IAM.
**Contents**
+ [Structure d’une politique](#structure)
+ [Effet](#iam-policies-effect)
+ [Action](#iam-policies-action)
+ [Ressource](#iam-policies-resource)
+ [Condition](#iam-policies-condition)
## Structure d’une politique
Une politique d'autorisation IAM est un document JSON qui inclut les instructions suivantes : effet, action, ressource et condition. Une politique IAM prend généralement la forme suivante.
```
{
"Statement":[{
"Effect":"",
"Action":"",
"Resource":"",
"Condition":{
"":{
"":""
}
}
}]
}
```
### Effet
L'instruction *Effect* indique si la politique autorise ou refuse une autorisation principale pour effectuer une action. Les valeurs possibles sont les suivantes : `Allow` et`Deny`.
### Action
L'instruction *Action* indique les actions AWS RAM d'API pour lesquelles la politique autorise ou refuse l'autorisation. Pour obtenir la liste complète des actions autorisées, consultez la section [Actions définies par AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-actions-as-permissions) dans le *guide de l'utilisateur IAM*.
### Ressource
L'instruction *Resource* indique les AWS RAM ressources concernées par la politique. Pour spécifier une ressource dans l'instruction, vous devez utiliser son Amazon Resource Name (ARN) unique. Pour obtenir la liste complète des ressources autorisées, consultez la section [Ressources définies par AWS Resource Access Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsresourceaccessmanager.html#awsresourceaccessmanager-resources-for-iam-policies) dans le *guide de l'utilisateur IAM*.
### Condition
Les déclarations de *condition* sont facultatives. Ils peuvent être utilisés pour affiner davantage les conditions dans lesquelles la politique s'applique. AWS RAM prend en charge les clés de condition suivantes :
+ `aws:RequestTag/${TagKey}`— Teste si la demande de service inclut une balise dont la clé de balise spécifiée existe et possède la valeur spécifiée.
+ `aws:ResourceTag/${TagKey}`— Teste si la ressource traitée par la demande de service possède une balise associée à une clé de balise que vous spécifiez dans la politique.
L'exemple de condition suivant vérifie que la ressource référencée dans la demande de service possède une balise attachée avec le nom clé « Owner » et la valeur « Dev Team ».
```
"Condition" : {
"StringEquals" : {
"aws:ResourceTag/Owner" : "Dev Team"
}
}
```
+ `aws:TagKeys`— Spécifie les clés de balise qui doivent être utilisées pour créer ou étiqueter un partage de ressources.
+ `ram:AllowsExternalPrincipals`— Teste si le partage des ressources dans la demande de service permet le partage avec des principaux externes. Un directeur externe est un Compte AWS externe à votre organisation dans AWS Organizations. Si c'est le cas`False`, vous ne pouvez partager ce partage de ressources qu'avec les comptes de la même organisation.
+ `ram:PermissionArn`— Teste si l'ARN d'autorisation spécifié dans la demande de service correspond à une chaîne ARN que vous spécifiez dans la politique.
+ `ram:PermissionResourceType`— Teste si l'autorisation spécifiée dans la demande de service est valide pour le type de ressource que vous spécifiez dans la politique. Spécifiez les types de ressources en utilisant le format indiqué dans la liste des [types de ressources partageables](shareable.md).
+ `ram:Principal`— Teste si l'ARN du principal spécifié dans la demande de service correspond à une chaîne d'ARN que vous spécifiez dans la politique.
+ `ram:RequestedAllowsExternalPrincipals`— Teste si la demande de service inclut le `allowExternalPrincipals` paramètre et si son argument correspond à la valeur que vous spécifiez dans la politique.
+ `ram:RequestedResourceType`— Teste si le type de ressource sur laquelle on agit correspond à une chaîne de type de ressource que vous spécifiez dans la politique. Spécifiez les types de ressources en utilisant le format indiqué dans la liste des [types de ressources partageables](shareable.md).
+ `ram:ResourceArn`— Teste si l'ARN de la ressource sur laquelle intervient la demande de service correspond à un ARN que vous spécifiez dans la politique.
+ `ram:ResourceShareName`— Teste si le nom du partage de ressources concerné par la demande de service correspond à une chaîne que vous spécifiez dans la politique.
+ `ram:ShareOwnerAccountId`— Teste que le numéro d'identification du compte du partage de ressources concerné par la demande de service correspond à une chaîne que vous spécifiez dans la politique.
# AWS politiques gérées pour AWS Resource Access Manager
AWS Resource Access Manager fournit actuellement plusieurs politiques AWS RAM gérées, qui sont décrites dans cette rubrique.
**Topics**
+ [AWSResourceAccessManagerReadOnlyAccess](#security-iam-managed-policies-AWSResourceAccessManagerReadOnlyAccess)
+ [AWSResourceAccessManagerFullAccess](#security-iam-managed-policies-AWSResourceAccessManagerFullAccess)
+ [AWSResourceAccessManagerResourceShareParticipantAccess](#security-iam-managed-policies-AWSResourceAccessManagerResourceShareParticipantAccess)
+ [AWSResourceAccessManagerServiceRolePolicy](#security-iam-managed-policies-AWSResourceAccessManagerServiceRolePolicy)
+ [Mises à jour des politiques](#security-iam-awsmanpol-updates)
Dans la liste précédente, vous pouvez associer les trois premières politiques à vos rôles, groupes et utilisateurs IAM pour accorder des autorisations. La dernière politique de la liste est réservée au AWS RAM rôle lié au service.
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle politique Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : AWSResource AccessManagerReadOnlyAccess
Vous pouvez associer la politique `AWSResourceAccessManagerReadOnlyAccess` à vos identités IAM.
Cette politique fournit des autorisations en lecture seule aux partages de ressources qui vous appartiennent. Compte AWS
Pour ce faire, il autorise l'exécution de n'importe laquelle `Get*` des `List*` opérations. Il ne permet pas de modifier un partage de ressources.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ram`— Permet aux principaux d'afficher les détails sur les parts de ressources détenues par le compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:Get*",
"ram:List*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AWSResource AccessManagerFullAccess
Vous pouvez associer la politique `AWSResourceAccessManagerFullAccess` à vos identités IAM.
Cette politique fournit un accès administratif complet pour consulter ou modifier les partages de ressources qui vous appartiennent Compte AWS.
Pour ce faire, il autorise l'exécution de toutes `ram` les opérations.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ram`— Permet aux principaux d'afficher ou de modifier toute information concernant les partages de ressources détenus par le Compte AWS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AWSResource AccessManagerResourceShareParticipantAccess
Vous pouvez associer la politique `AWSResourceAccessManagerResourceShareParticipantAccess` à vos identités IAM.
Cette politique donne aux principaux la possibilité d'accepter ou de rejeter les partages de ressources partagés avec celui-ci Compte AWS, et de consulter les détails de ces partages de ressources. Il ne permet pas de modifier ces partages de ressources.
Pour ce faire, il autorise l'exécution de certaines `ram` opérations.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `ram`— Permet aux principaux d'accepter ou de rejeter les invitations à partager des ressources et de consulter les détails des partages de ressources partagés avec le compte.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourcePolicies",
"ram:GetResourceShareInvitations",
"ram:GetResourceShares",
"ram:ListPendingInvitationResources",
"ram:ListPrincipals",
"ram:ListResources",
"ram:RejectResourceShareInvitation"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## AWS politique gérée : AWSResource AccessManagerServiceRolePolicy
La politique AWS gérée ne `AWSResourceAccessManagerServiceRolePolicy` peut être utilisée qu'avec le rôle lié au service pour. AWS RAM Vous ne pouvez pas joindre, détacher, modifier ou supprimer cette politique.
Cette politique fournit un accès AWS RAM en lecture seule à la structure de votre organisation. Lorsque vous activez l'intégration entre AWS RAM et AWS Organizations, crée AWS RAM automatiquement un rôle lié au service nommé [AWSServiceRoleForResourceAccessManager](https://console.aws.amazon.com/iam/home#/roles/AWSServiceRoleForResourceAccessManager)que le service assume lorsqu'il a besoin de rechercher des informations sur votre organisation et ses comptes, par exemple lorsque vous consultez la structure de l'organisation dans la AWS RAM console.
Pour ce faire, il accorde l'autorisation en lecture seule d'exécuter les `organizations:List` opérations `organizations:Describe` et qui fournissent des détails sur la structure et les comptes de l'organisation.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `organizations`— Permet aux directeurs de consulter les informations relatives à la structure de l'organisation, y compris les unités organisationnelles et celles Comptes AWS qu'elles contiennent.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListRoots"
],
"Resource": "*"
},
{
"Sid": "AllowDeletionOfServiceLinkedRoleForResourceAccessManager",
"Effect": "Allow",
"Action": [
"iam:DeleteRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/ram.amazonaws.com/*"
]
}
]
}
```
------
## AWS RAM mises à jour des politiques AWS gérées
Consultez les détails des mises à jour des politiques AWS gérées AWS RAM depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page Historique du AWS RAM document.
| Modifier | Description | Date |
| --- | --- | --- |
| AWS Resource Access Manager a commencé à suivre les modifications | AWS RAM a documenté ses politiques gérées existantes et a commencé à suivre les modifications. | 16 septembre 2021 |
# Utilisation de rôles liés à un service pour AWS RAM
AWS Resource Access Manager utilise des Gestion des identités et des accès AWS rôles liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié au service. AWS RAM Les rôles liés aux services sont prédéfinis par AWS et incluent toutes les autorisations AWS RAM nécessaires pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service AWS RAM facilite la configuration car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. AWS RAM définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, ne AWS RAM peut assumer que ses rôles liés aux services. Les autorisations définies incluent à la fois une politique de confiance et une politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre entité IAM.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services avec un **Oui ** dans la colonne **Rôle lié à un service**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées à un service pour AWS RAM
AWS RAM utilise le rôle lié au service nommé `AWSServiceRoleForResourceAccessManager` lorsque vous activez le partage avec. AWS Organizations Ce rôle autorise le AWS RAM service à consulter les détails de l'organisation, tels que la liste des comptes des membres et les unités organisationnelles auxquelles appartient chaque compte.
Ce rôle lié à un service fait confiance au service suivant pour assumer le rôle :
+ `ram.amazonaws.com`
La politique d'autorisation de rôle nommée AWSResource AccessManagerServiceRolePolicy est attachée à ce rôle lié au service et permet d' AWS RAM effectuer les actions suivantes sur les ressources spécifiées :
+ Actions : actions en lecture seule qui permettent de récupérer des informations sur la structure de votre organisation. Pour obtenir la liste complète des actions, vous pouvez consulter la politique dans la console IAM : [AWSResourceAccessManagerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceAccessManagerServiceRolePolicy$jsonEditor).
Pour qu'un responsable active le AWS RAM partage au sein de votre organisation, ce principal (une entité IAM telle qu'un utilisateur, un groupe ou un rôle) doit être autorisé à créer un rôle lié à un service. Pour en savoir plus, consultez [Service-Linked Role Permissions (autorisations du rôle lié à un service)](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour AWS RAM
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez le AWS RAM partage au sein de votre organisation dans le AWS Management Console ou que vous l'exécutez [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)dans votre compte à l' AWS CLI aide d'une AWS API, vous AWS RAM créez le rôle lié au service pour vous.
Appelez `enable-sharing-with-aws-organizations` pour créer le rôle lié au service dans votre compte.
Si vous supprimez ce rôle lié à un service, vous AWS RAM n'êtes plus autorisé à consulter les détails de la structure de votre organisation.
## Modification d'un rôle lié à un service pour AWS RAM
AWS RAM ne vous permet pas de modifier le rôle AWSResource AccessManagerServiceRolePolicy lié au service. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour en savoir plus, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour AWS RAM
Vous pouvez utiliser la console IAM, AWS CLI ou l' AWS API pour supprimer manuellement le rôle lié à un service.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au `AWSResourceAccessManagerServiceRolePolicy` service. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles AWS RAM liés à un service
AWS RAM prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour de plus amples informations, veuillez consulter [AWS Régions et points de terminaison](https://docs.aws.amazon.com/general/latest/gr/rande.html) dans le manuel *Référence générale d'Amazon Web Services*.
# Exemples de politiques IAM pour AWS RAM
Cette rubrique inclut des exemples de politiques IAM AWS RAM illustrant le partage de ressources et de types de ressources spécifiques et la restriction du partage.
**Topics**
+ [Autoriser le partage de ressources spécifiques](#owner-share-specific-resources)
+ [Autoriser le partage de types de ressources spécifiques](#owner-share-resource-types)
+ [Restreindre le partage avec des tiers Comptes AWS](#control-access-owner-external)
## Exemple 1 : Autoriser le partage de ressources spécifiques
Vous pouvez utiliser une politique d'autorisation IAM pour empêcher les principaux d'associer uniquement des ressources spécifiques à des partages de ressources.
Par exemple, la politique suivante limite les principaux à partager uniquement la règle de résolution avec le Amazon Resource Name (ARN) spécifié. L'opérateur `StringEqualsIfExists` autorise une demande si la demande n'inclut pas de `ResourceArn` paramètre ou si elle inclut ce paramètre, si sa valeur correspond exactement à l'ARN spécifié.
Pour plus d'informations sur quand et pourquoi utiliser des `...IfExists` opérateurs, voir[... IfExists opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) dans le *guide de l'utilisateur IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEqualsIfExists": {
"ram:ResourceArn": "arn:aws:route53resolver:us-west-2:123456789012:resolver-rule/rslvr-rr-5328a0899aexample"
}
}
}]
}
```
------
## Exemple 2 : Autoriser le partage de types de ressources spécifiques
Vous pouvez utiliser une politique IAM pour limiter les principaux à n'associer que des types de ressources spécifiques aux partages de ressources.
Les actions `AssociateResourceShare` et`CreateResourceShare`, peuvent accepter des principes et en `resourceArns` tant que paramètres d'entrée indépendants. Par conséquent, AWS RAM autorise chaque principal et chaque ressource indépendamment, de sorte qu'il peut y avoir plusieurs [contextes de demande.](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic_policy-eval-reqcontext.html) Cela signifie que lorsqu'un principal est associé à un partage de AWS RAM ressources, la clé de `ram:RequestedResourceType` condition n'est pas présente dans le contexte de la demande. De même, lorsqu'une ressource est associée à un partage de AWS RAM ressources, la clé de `ram:Principal` condition n'est pas présente dans le contexte de la demande. Par conséquent, pour autoriser `AssociateResourceShare` et `CreateResourceShare` associer des principaux au partage de AWS RAM ressources, vous pouvez utiliser l'[opérateur de `Null` condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_Null).
Par exemple, la politique suivante limite les principaux à partager uniquement les règles du résolveur Amazon Route 53 et leur permet d'associer n'importe quel principal à ce partage.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowOnlySpecificResourceType",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:RequestedResourceType": "route53resolver:ResolverRule"
}
}
},
{
"Sid": "AllowAssociatingPrincipals",
"Effect": "Allow",
"Action": ["ram:CreateResourceShare", "ram:AssociateResourceShare"],
"Resource": "*",
"Condition": {
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
## Exemple 3 : Restreindre le partage avec des tiers Comptes AWS
Vous pouvez utiliser une politique IAM pour empêcher les principaux de partager des ressources avec Comptes AWS des personnes extérieures à son AWS organisation.
Par exemple, la politique IAM suivante empêche les principaux d'ajouter des éléments externes Comptes AWS aux partages de ressources.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ram:CreateResourceShare",
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "false"
}
}
}]
}
```
------
# Exemples de politiques de contrôle des services pour AWS Organizations et AWS RAM
AWS RAM prend en charge les politiques de contrôle des services (SCPs). SCPs sont des politiques que vous associez aux éléments d'une organisation pour gérer les autorisations au sein de cette organisation. Un SCP s'applique à tout ce qui se Comptes AWS [trouve sous l'élément auquel vous attachez le SCP](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_inheritance_auth.html). SCPs offrez un contrôle centralisé sur le maximum d'autorisations disponibles pour tous les comptes de votre organisation. Ils peuvent vous aider à garantir le respect Comptes AWS des directives de contrôle d'accès de votre organisation. Pour plus d'informations, consultez la section [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) du *Guide de l'utilisateur AWS Organizations *.
## Conditions préalables
Pour l'utiliser SCPs, vous devez d'abord effectuer les opérations suivantes :
+ Activez toutes les fonctions de votre organisation. Pour plus d'informations, consultez la section [Activation de toutes les fonctionnalités de votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dans le *guide de AWS Organizations l'utilisateur*
+ Activez SCPs pour une utilisation au sein de votre organisation. Pour plus d'informations, consultez la section [Activation et désactivation des types de politiques](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) dans le guide de l'*AWS Organizations utilisateur*
+ Créez SCPs ce dont vous avez besoin. Pour plus d'informations sur la création SCPs, voir [Création et mise à jour SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) dans le *Guide de AWS Organizations l'utilisateur*.
## Exemples de politiques de contrôle des services
**Contents**
+ [Exemple 1 : empêcher le partage externe](#example-one)
+ [Exemple 2 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources provenant de comptes externes à votre organisation](#example-two)
+ [Exemple 3 : Autoriser des comptes spécifiques à partager des types de ressources spécifiques](#example-three)
+ [Exemple 4 : empêcher le partage avec l'ensemble de l'organisation ou avec des unités organisationnelles](#example-four)
+ [Exemple 5 : autoriser le partage uniquement avec des principaux spécifiques](#example-five)
+ [Exemple 6 : Empêcher les partages de ressources lorsque RetainSharingOnAccountLeaveOrganization cette option est activée](#example-six)
Les exemples suivants montrent comment contrôler les différents aspects liés au partage des ressources dans une organisation.
### Exemple 1 : empêcher le partage externe
Le SCP suivant empêche les utilisateurs de créer des partages de ressources qui autorisent le partage avec des responsables extérieurs à l'organisation de l'utilisateur qui partage les ressources.
AWS RAM autorise APIs séparément pour chaque principal et chaque ressource répertoriés dans l'appel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
]
}
```
------
### Exemple 2 : Empêcher les utilisateurs d'accepter des invitations à partager des ressources provenant de comptes externes à votre organisation
Le SCP suivant empêche tout principal d'un compte concerné d'accepter une invitation à utiliser un partage de ressources. Les partages de ressources partagés avec d'autres comptes de la même organisation que le compte de partage ne génèrent pas d'invitations et ne sont donc pas affectés par ce SCP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ram:AcceptResourceShareInvitation",
"Resource": "*"
}
]
}
```
------
### Exemple 3 : Autoriser des comptes spécifiques à partager des types de ressources spécifiques
Le SCP suivant autorise *uniquement* les comptes `111111111111` et permet de `222222222222` créer de nouveaux partages de ressources qui partagent des listes de préfixes Amazon EC2 ou d'associer des listes de préfixes à des partages de ressources existants.
AWS RAM autorise APIs séparément pour chaque principal et chaque ressource répertoriés dans l'appel.
L'opérateur `StringEqualsIfExists` autorise une demande si celle-ci n'inclut pas de paramètre de type de ressource ou si elle inclut ce paramètre, si sa valeur correspond exactement au type de ressource spécifié. Si vous incluez un directeur, vous devez en avoir un`...IfExists`.
Pour plus d'informations sur quand et pourquoi utiliser des `...IfExists` opérateurs, voir[... IfExists opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) dans le *guide de l'utilisateur IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
},
"StringEqualsIfExists": {
"ram:RequestedResourceType": "ec2:PrefixList"
}
}
}
]
}
```
------
### Exemple 4 : empêcher le partage avec l'ensemble de l'organisation ou avec des unités organisationnelles
Le SCP suivant empêche les utilisateurs de créer des partages de ressources qui partagent des ressources avec l'ensemble d'une organisation ou avec des unités organisationnelles. Les utilisateurs *peuvent* partager avec un membre Comptes AWS de l'organisation, ou avec des rôles ou des utilisateurs IAM.
AWS RAM autorise APIs séparément pour chaque principal et chaque ressource répertoriés dans l'appel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:organization/*",
"arn:aws:organizations::*:ou/*"
]
}
}
}
]
}
```
------
### Exemple 5 : autoriser le partage uniquement avec des principaux spécifiques
L'exemple de SCP suivant permet aux utilisateurs de partager des ressources *uniquement* avec l'unité `o-12345abcdef,` organisationnelle de l'organisation`ou-98765fedcba`, et Compte AWS `111111111111`.
Si vous utilisez un `"Effect": "Deny"` élément avec un opérateur de condition annulé, par exemple`StringNotEqualsIfExists`, la demande est toujours refusée même si la clé de condition n'est pas présente. Utilisez un opérateur de condition `Null` pour vérifier si une clé de condition est absente au moment de l'autorisation.
AWS RAM autorise APIs séparément pour chaque principal et chaque ressource répertoriés dans l'appel.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": [
"arn:aws:organizations::123456789012:organization/o-12345abcdef",
"arn:aws:organizations::123456789012:ou/o-12345abcdef/ou-98765fedcba",
"111111111111"
]
},
"Null": {
"ram:Principal": "false"
}
}
}
]
}
```
------
### Exemple 6 : Empêcher les partages de ressources lorsque RetainSharingOnAccountLeaveOrganization cette option est activée
Le SCP suivant empêche les utilisateurs de créer ou de modifier des partages de ressources lorsque la clé de `ram:RetainSharingOnAccountLeaveOrganization` condition est définie sur. `true`
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare",
"ram:DisassociateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RetainSharingOnAccountLeaveOrganization": "true"
}
}
}
]
}
```
# Désactiver le partage de ressources avec AWS Organizations
Si vous avez précédemment activé le partage avec AWS Organizations et que vous n'avez plus besoin de partager les ressources avec l'ensemble de votre organisation ou de vos unités organisationnelles (OUs), vous pouvez désactiver le partage. Lorsque vous désactivez le partage avec toutes les organisations AWS Organizations, OUs celles-ci sont supprimées des partages de ressources que vous avez créés et elles perdent l'accès aux ressources partagées. Les comptes externes (comptes ajoutés au partage de ressources sur invitation) ne seront pas affectés et continueront d'être associés au partage de ressources.
**Pour désactiver le partage avec AWS Organizations**
1. Désactivez l'accès sécurisé à AWS Organizations l'aide de la AWS Organizations [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) AWS CLI commande.
```
$ aws organizations disable-aws-service-access --service-principal ram.amazonaws.com
```
**Important**
Lorsque vous désactivez l'accès sécurisé à AWS Organizations, les principaux de vos organisations sont retirés de tous les partages de ressources et perdent l'accès à ces ressources partagées.
1. Utilisez la console IAM AWS CLI, ou les opérations de l'API IAM pour supprimer le rôle lié au **AWSServiceRoleForResourceAccessManager**service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# Connexion et surveillance AWS RAM
La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité AWS RAM et des performances de vos AWS solutions. Vous devez collecter des données de surveillance provenant de toutes les parties de votre AWS solution afin de pouvoir corriger plus facilement une défaillance multipoint, le cas échéant. AWS fournit plusieurs outils pour surveiller vos AWS RAM ressources et répondre aux incidents potentiels :
**Amazon EventBridge**
Fournit un near-real-time flux d'événements système décrivant les modifications apportées aux AWS ressources. EventBridge permet une informatique automatisée axée sur les événements, car vous pouvez écrire des règles qui surveillent certains événements et déclenchent des actions automatisées dans d'autres AWS services lorsque ces événements se produisent. Pour de plus amples informations, veuillez consulter [Surveillance à AWS RAM l'aide EventBridge](using-eventbridge.md).
**AWS CloudTrail**
Capture les appels d'API et les événements associés effectués par vous ou en votre nom Compte AWS et envoie les fichiers journaux dans un compartiment Amazon S3 que vous spécifiez. Vous pouvez identifier les utilisateurs et les comptes appelés AWS, l'adresse IP source à partir de laquelle les appels ont été effectués et la date des appels. Pour de plus amples informations, veuillez consulter [Journalisation des appels d' AWS RAM API avec AWS CloudTrail](cloudtrail-logging.md).
# Surveillance à AWS RAM l'aide EventBridge
À l'aide d'Amazon EventBridge, vous pouvez configurer des notifications automatiques pour des événements spécifiques dans AWS RAM. Les événements de AWS RAM sont transmis à EventBridge en temps quasi réel. Vous pouvez configurer EventBridge pour surveiller les événements et appeler des cibles en réponse à des événements indiquant des modifications de vos partages de ressources. Les modifications apportées à un partage de ressources déclenchent des événements à la fois pour le propriétaire du partage de ressources et pour les principaux autorisés à accéder au partage de ressources.
Lorsque vous créez un modèle d'événement, la source est `aws.ram`.
**Note**
Prenez soin d'écrire du code qui dépend de ces événements. Ces événements ne sont pas garantis, mais sont émis dans le meilleur des cas. Si une erreur se produit lors de la AWS RAM tentative d'émission d'un événement, le service essaie plusieurs fois de plus. Cependant, cela peut expirer et entraîner la perte de cet événement spécifique.
Pour plus d'informations, consultez le guide de EventBridge l'utilisateur Amazon.
## Exemple : alerte en cas de défaillance du partage des ressources
Envisagez le scénario dans lequel vous souhaitez partager les réservations de capacité Amazon EC2 avec d'autres comptes de votre organisation. Cela constitue un bon moyen de réduire vos coûts.
Toutefois, si vous ne remplissez pas toutes les [conditions requises pour partager une réservation de capacité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#sharing-cr-prereq), celle-ci peut échouer silencieusement lors de l'exécution des tâches asynchrones liées au partage des ressources. Si l'opération de partage échoue et que vos utilisateurs d'autres comptes tentent de lancer des instances avec l'une de ces réservations de capacité, Amazon EC2 agit comme si la réservation de capacité était complète et lance l'instance en tant qu'instance à la demande à la place. Cela peut entraîner des coûts plus élevés que prévu.
Pour surveiller les échecs de partage de ressources, configurez une EventBridge règle Amazon qui vous alerte en cas d'échec d'un partage de AWS RAM ressources. La procédure du didacticiel suivante utilise une rubrique Amazon Simple Notification Service (SNS) pour avertir tous les abonnés à la rubrique chaque fois qu'un échec de partage de ressources est EventBridge découvert. Pour plus d’informations sur Amazon SNS, consultez le [Manuel de développement d’Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).
**Pour créer une règle qui vous avertit en cas d'échec du partage de ressources**
1. Ouvrez la [ EventBridge console Amazon](https://console.aws.amazon.com/events).
1. Dans le volet de navigation, sélectionnez **Règles**, puis dans la liste **Règles**, choisissez **Créer une règle**.
1. Entrez un nom et une description facultative pour votre règle, puis choisissez **Next**.
1. Faites défiler la page jusqu'à la zone **Modèle d'événement**, puis sélectionnez **Modèles personnalisés (éditeur JSON)**.
1. Copiez et collez le modèle d'événement suivant :
```
{
"source": ["aws.ram"],
"detail-type": ["Resource Sharing State Change"],
"detail": {
"event": ["Resource Share Association"],
"status": ["failed"]
}
}
```
1. Choisissez **Suivant**.
1. Pour la **cible 1**, sous **Type de cible**, sélectionnez **Service AWS**.
1. Sous **Sélectionnez une cible**, choisissez le **sujet SNS**.
1. Dans le champ **Rubrique**, choisissez la rubrique SNS dans laquelle vous souhaitez publier la notification. Ce sujet doit déjà exister.
1. Choisissez **Next**, puis choisissez à nouveau **Next** pour vérifier votre configuration.
1. Lorsque vous êtes satisfait de vos options, choisissez **Créer une règle**.
1. De retour sur la page **des règles**, assurez-vous que votre nouvelle règle est marquée comme **activée**. Si nécessaire, cliquez sur le bouton radio à côté du nom de votre règle, puis sélectionnez **Activer**.
Tant que cette règle est activée, tout partage de AWS RAM ressources défaillant génère une alerte SNS destinée aux destinataires du sujet sur lequel vous avez publié.
Vous pouvez également vérifier que les réservations de capacité partagée sont accessibles aux comptes avec lesquels vous les avez partagées en essayant de [les consulter dans la console Amazon EC2 à partir de ces](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/capacity-reservation-sharing.html#identifying-shared-cr) comptes.
# Journalisation des appels d' AWS RAM API avec AWS CloudTrail
AWS RAM est intégré à AWS CloudTrail un service qui fournit un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans AWS RAM. CloudTrail capture tous les appels d'API AWS RAM sous forme d'événements. Les appels capturés incluent des appels provenant de la AWS RAM console et des appels de code vers les opérations de l' AWS RAM API. Si vous créez un suivi, vous pouvez activer la diffusion continue des CloudTrail événements vers un compartiment Amazon S3 que vous spécifiez, y compris les événements pour lesquels AWS RAM. Si vous ne configurez pas de suivi, vous pouvez toujours consulter les événements les plus récents dans la CloudTrail console dans **Historique des événements**. Utilisez les informations collectées par CloudTrail pour déterminer la demande qui a été faite AWS RAM, l'adresse IP de la demande, le demandeur, la date à laquelle elle a été faite et des informations supplémentaires.
Pour plus d'informations CloudTrail, consultez le [guide de AWS CloudTrail l'utilisateur](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
## AWS RAM informations dans CloudTrail
CloudTrail est activé sur votre compte Compte AWS lorsque vous créez le compte. Lorsqu'une activité se produit dans AWS RAM, cette activité est enregistrée dans un CloudTrail événement avec d'autres événements de AWS service dans **l'historique des événements**. Vous pouvez consulter, rechercher et télécharger les événements récents dans votre Compte AWS. Pour plus d'informations, consultez la section [Affichage des événements à l'aide de l'historique des CloudTrail événements](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html).
Pour un enregistrement continu des événements dans votre Compte AWS, y compris les événements pour AWS RAM, créez un journal d'activité. Un *suivi* permet CloudTrail de fournir des fichiers journaux à un compartiment Amazon S3. Par défaut, lorsque vous créez un parcours dans la console, celui-ci s'applique à toutes les AWS régions. Le journal d’activité consigne les événements de toutes les régions dans la partition AWS et livre les fichiers journaux dans le compartiment Simple Storage Service (Amazon S3) de votre choix. En outre, vous pouvez configurer d'autres AWS services pour analyser plus en détail les données d'événements collectées dans les CloudTrail journaux et agir en conséquence. Pour plus d’informations, consultez les ressources suivantes :
+ [Création d'un parcours pour votre Compte AWS](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html)
+ [Service AWS intégrations avec des journaux CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations)
+ [Configuration des notifications Amazon SNS pour CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/getting_notifications_top_level.html)
+ [Réception de fichiers CloudTrail journaux de plusieurs régions](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html) et [réception de fichiers CloudTrail journaux de plusieurs comptes](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
Toutes les AWS RAM actions sont enregistrées CloudTrail et documentées dans la [référence de l'AWS RAM API](https://docs.aws.amazon.com/ram/latest/APIReference/). Par exemple, les appels adressés aux actions `CreateResourceShare` `AssociateResourceShare`, `EnableSharingWithAwsOrganization` génèrent des entrées dans les fichiers journaux CloudTrail.
Chaque événement ou entrée de journal contient des informations sur la personne ayant initiée la demande.
+ Compte AWS informations d'identification root
+ Informations d'identification de sécurité temporaires provenant d'un rôle Gestion des identités et des accès AWS (IAM) ou d'un utilisateur fédéré.
+ Informations d'identification de sécurité à long terme d'un utilisateur IAM.
+ Un autre AWS service.
Pour de plus amples informations, veuillez consulter l'[élément userIdentity CloudTrail ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
## Comprendre les entrées du fichier AWS RAM journal
Un suivi est une configuration qui permet de transmettre des événements sous forme de fichiers journaux à un compartiment Amazon S3 que vous spécifiez. CloudTrail les fichiers journaux contiennent une ou plusieurs entrées de journal. Un événement représente une demande unique provenant de n'importe quelle source et inclut des informations sur l'action demandée, la date et l'heure de l'action, les paramètres de la demande, etc. CloudTrail les fichiers journaux ne constituent pas une trace ordonnée des appels d'API publics, ils n'apparaissent donc pas dans un ordre spécifique.
L'exemple suivant montre une entrée de CloudTrail journal pour l'`CreateResourceShare`action.
```
{
"eventVersion": "1.05",
"userIdentity": {
"type": "IAMUser",
"principalId": "NOPIOSFODNN7EXAMPLE",
"arn": "arn:aws:iam::111122223333:user/admin",
"accountId": "111122223333",
"accessKeyId": "BCDIOSFODNN7EXAMPLE",
"userName": "admin"
},
"eventTime": "2018-11-03T04:23:19Z",
"eventSource": "ram.amazonaws.com",
"eventName": "CreateResourceShare",
"awsRegion": "us-east-1",
"sourceIPAddress": "192.0.1.0",
"userAgent": "aws-cli/1.16.2 Python/2.7.10 Darwin/16.7.0 botocore/1.11.2",
"requestParameters": {
"name": "foo"
},
"responseElements": {
"resourceShare": {
"allowExternalPrincipals": true,
"name": "foo",
"owningAccountId": "111122223333",
"resourceShareArn": "arn:aws:ram:us-east-1:111122223333:resource-share/EXAMPLE0-1234-abcd-1212-987656789098",
"status": "ACTIVE"
}
},
"requestID": "EXAMPLE0-abcd-1234-mnop-987654567876",
"eventID": "EXAMPLE0-1234-abcd-hijk-543234565434",
"readOnly": false,
"eventType": "AwsApiCall",
"recipientAccountId": "111122223333"
}
```
# Validation de conformité pour AWS Resource Access Manager
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Résilience dans AWS Resource Access Manager
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure dans AWS Resource Access Manager
En tant que service géré, AWS Resource Access Manager il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder AWS RAM via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# Accès AWS Resource Access Manager via un point de terminaison d'interface (AWS PrivateLink)
Vous pouvez l'utiliser AWS PrivateLink pour créer une connexion privée entre votre VPC et. AWS Resource Access Manager Vous pouvez y accéder AWS RAM comme s'il se trouvait dans votre VPC, sans utiliser de passerelle Internet, de périphérique NAT, de connexion VPN ou Direct Connect de connexion. Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour y accéder. AWS RAM
Vous établissez cette connexion privée en créant un *point de terminaison d’interface* optimisé par AWS PrivateLink. Nous créons une interface réseau de point de terminaison dans chaque sous-réseau que vous activez pour le point de terminaison d’interface. Il s'agit d'interfaces réseau gérées par le demandeur qui servent de point d'entrée pour le trafic destiné à AWS RAM.
Pour plus d’informations, consultez [Accès aux Services AWS via AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html) dans le *Guide AWS PrivateLink *.
## Considérations relatives à AWS RAM
Avant de configurer un point de terminaison d'interface pour AWS RAM, consultez les [considérations](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints) du *AWS PrivateLink guide*.
AWS RAM prend en charge les appels à toutes ses actions d'API via le point de terminaison de l'interface.
Les politiques de point de terminaison VPC sont prises en charge pour. AWS RAM Par défaut, l'accès complet à AWS RAM est autorisé via le point de terminaison de l'interface.
## Créez un point de terminaison d'interface pour AWS RAM
Vous pouvez créer un point de terminaison d'interface pour AWS RAM utiliser la console Amazon VPC ou le AWS Command Line Interface ()AWS CLI. Pour plus d’informations, consultez [Création d’un point de terminaison d’interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws) dans le *Guide AWS PrivateLink *.
Créez un point de terminaison d'interface pour AWS RAM utiliser le nom de service suivant :
```
com.amazonaws.region.ram
```
Si vous activez le DNS privé pour le point de terminaison de l'interface, vous pouvez envoyer des demandes d'API à AWS RAM l'aide de son nom DNS régional par défaut. Par exemple, `ram.us-east-1.amazonaws.com`.
## Création d’une politique de point de terminaison pour votre point de terminaison d’interface
Une politique de point de terminaison est une ressource IAM que vous pouvez attacher à votre point de terminaison d’interface. La politique de point de terminaison par défaut autorise un accès complet AWS RAM via le point de terminaison de l'interface. Pour contrôler l'accès autorisé AWS RAM depuis votre VPC, associez une politique de point de terminaison personnalisée au point de terminaison de l'interface.
Une politique de point de terminaison spécifie les informations suivantes :
+ Les principaux qui peuvent effectuer des actions (Comptes AWS, utilisateurs IAM et rôles IAM).
+ Les actions qui peuvent être effectuées.
+ La ressource sur laquelle les actions peuvent être effectuées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services à l’aide de politiques de point de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *Guide AWS PrivateLink *.
**Exemple : politique de point de terminaison VPC pour les actions AWS RAM**
Voici un exemple de politique de point de terminaison personnalisée. Lorsque vous attachez cette politique au point de terminaison de votre interface, elle accorde l'accès aux AWS RAM actions répertoriées à tous les principaux sur toutes les ressources.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":
[
{
"Effect": "Allow",
"Principal": "*",
"Action": [
"ram:CreateResourceShare"
],
"Resource": "*"
}
]
}
```
------