Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Qu'est-ce que c'est AWS Resource Access Manager ?

PDF
RSS
Mode de mise au point
Qu'est-ce que c'est AWS Resource Access Manager ? - AWS Resource Access Manager
Aperçus vidéoAvantages de AWS RAMComment fonctionne le partage des ressourcesAccès AWS RAMTarification pour AWS RAMConformité et normes internationales

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Resource Access Manager (AWS RAM) vous permet de partager en toute sécurité vos ressources entre Comptes AWS, au sein de votre organisation ou de vos unités organisationnelles (OUs), ainsi qu'avec les rôles et utilisateurs AWS Identity and Access Management (IAM) pour les types de ressources pris en charge. Si vous en avez plusieurs Comptes AWS, vous pouvez créer une ressource une seule fois et l'utiliser AWS RAM pour la rendre utilisable par ces autres comptes. Si votre compte est géré par AWS Organizations, vous pouvez partager des ressources avec tous les autres comptes de l'organisation ou uniquement avec les comptes contenus dans une ou plusieurs unités organisationnelles spécifiées (OUs). Vous pouvez également partager avec un utilisateur spécifique Comptes AWS par identifiant de compte, que le compte fasse partie ou non d'une organisation. Certains types de ressources pris en charge vous permettent également de les partager avec des rôles et utilisateurs IAM spécifiques.

Aperçus vidéo

La vidéo suivante fournit une brève introduction AWS RAM et décrit comment créer un partage de ressources. Pour de plus amples informations, veuillez consulter Création d'un partage de ressources dans AWS RAM.

La vidéo suivante montre comment appliquer des autorisations AWS gérées à vos AWS ressources. Pour de plus amples informations, veuillez consulter Gestion des autorisations dans AWS RAM.

Cette vidéo montre comment créer et associer des autorisations gérées par les clients conformément à la meilleure pratique du moindre privilège. Pour de plus amples informations, veuillez consulter Création et utilisation d'autorisations gérées par le client dans AWS RAM.

Avantages de AWS RAM

Pourquoi utiliser AWS RAM ? Elle offre les avantages suivants :

  • Réduit vos frais d'exploitation : créez une ressource une seule fois, puis AWS RAM utilisez-la pour la partager avec d'autres comptes. Vous n'aurez ainsi plus besoin d'allouer des ressources en double dans chaque compte, ce qui permet de réduire les frais d'exploitation. Dans le compte propriétaire de la ressource, AWS RAM simplifie l'octroi de l'accès à chaque rôle et utilisateur de ce compte sans avoir à utiliser de politiques d'autorisation basées sur l'identité.

  • Assure la sécurité et la cohérence — Simplifiez la gestion de la sécurité de vos ressources partagées en utilisant un ensemble unique de politiques et d'autorisations. Si vous deviez plutôt créer des ressources dupliquées dans tous vos comptes distincts, vous auriez la tâche de mettre en œuvre des politiques et des autorisations identiques, puis de les conserver identiques sur tous ces comptes. Au lieu de cela, tous les utilisateurs d'un partage de AWS RAM ressources sont gérés par un ensemble unique de politiques et d'autorisations. AWS RAM offre une expérience cohérente pour le partage de différents types de AWS ressources.

  • Fournit de la visibilité et de l'auditabilité : consultez les détails d'utilisation de vos ressources partagées grâce à l'intégration AWS RAM avec Amazon CloudWatch et AWS CloudTrail. AWS RAM fournit une visibilité complète sur les ressources et les comptes partagés.

Qu'en est-il de l'accès entre comptes avec des politiques basées sur les ressources ?

Vous pouvez partager certains types de AWS ressources avec d'autres Comptes AWS en attachant une politique basée sur les ressources qui identifie les principaux AWS Identity and Access Management (IAM) (rôles et utilisateurs IAM) extérieurs à la vôtre. Compte AWS Cependant, le partage d'une ressource en y associant une politique ne permet pas de tirer parti des avantages supplémentaires que cela AWS RAM apporte. En l'utilisant, AWS RAM vous bénéficiez des fonctionnalités suivantes :

  • Vous pouvez partager avec une organisation ou une unité organisationnelle (UO) sans avoir à les Compte AWS IDs énumérer toutes.

  • Les utilisateurs peuvent voir les ressources partagées avec eux directement dans la Service AWS console d'origine et dans les opérations de l'API, comme si ces ressources se trouvaient directement dans le compte de l'utilisateur. Par exemple, si vous partagez un sous-réseau Amazon VPC avec un autre compte, les utilisateurs de ce compte peuvent voir le sous-réseau dans la console Amazon VPC et dans les résultats des opérations d'API Amazon VPC effectuées sur ce compte. AWS RAM Les ressources partagées en joignant une politique basée sur les ressources ne sont pas visibles de cette façon ; vous devez plutôt découvrir et faire explicitement référence à la ressource par son Amazon Resource Name (ARN).

  • Les propriétaires d'une ressource peuvent voir quels principaux ont accès à chaque ressource individuelle qu'ils ont partagée.

  • Si vous partagez des ressources avec un compte qui ne fait pas partie de votre organisation, AWS RAM lancez un processus d'invitation. Le destinataire doit accepter l'invitation avant que le principal puisse accéder aux ressources partagées. Une fois que vous avez activé la fonctionnalité de partage au sein de votre organisation, le partage avec les comptes de l'organisation ne nécessite aucune invitation.

Si vous avez partagé des ressources à l'aide d'une politique d'autorisation basée sur les ressources, vous pouvez promouvoir ces ressources en ressources entièrement AWS RAM gérées en effectuant l'une des opérations suivantes :

Comment fonctionne le partage des ressources

Lorsque vous partagez une ressource du compte propriétaire avec une autre ressource Compte AWS, le compte consommateur, vous accordez l'accès à la ressource partagée aux principaux du compte consommateur. Toutes les politiques et autorisations applicables aux rôles et aux utilisateurs du compte consommateur s'appliquent également à la ressource partagée. Les ressources du partage semblent être des ressources natives de celles avec lesquelles Comptes AWS vous les avez partagées.

Vous pouvez partager des ressources mondiales et régionales. Pour de plus amples informations, veuillez consulter Partage des ressources régionales par rapport aux ressources mondiales.

Partage de vos ressources

Avec AWS RAM, vous partagez les ressources que vous possédez en créant un partage de ressources. Pour créer un partage de ressources, vous devez spécifier les éléments suivants :

  • Le Région AWS dans lequel vous souhaitez créer le partage de ressources. Dans la console, vous pouvez choisir dans le menu déroulant Région situé dans le coin supérieur droit de la console. Dans le AWS CLI, vous utilisez le --region paramètre.

    • Un partage de ressources ne peut contenir que des ressources régionales identiques Région AWS au partage de ressources.

    • Un partage de ressources ne peut contenir des ressources mondiales que si le partage de ressources se trouve dans la région d'origine désignée pour les ressources mondiales, à savoir l'est des États-Unis (Virginie du Nord)us-east-1.

  • Nom du partage de ressources.

  • Liste des ressources auxquelles vous souhaitez accorder l'accès dans le cadre de ce partage de ressources.

  • Les principaux auxquels vous accordez l'accès à la ressource partagent. Les principaux peuvent être des individus Comptes AWS, les comptes d'une organisation ou d'une unité organisationnelle (UO) AWS Organizations, des rôles ou des utilisateurs individuels AWS Identity and Access Management (IAM).

    Note

    Les types de ressource ne peuvent pas tous être partagés avec les utilisateurs et les rôles IAM. Pour plus d'informations sur les ressources que vous pouvez partager avec ces responsables, consultezRessources partageables AWS.

  • Une autorisation gérée à associer à chaque type de ressource que vous incluez dans un partage de ressources. L'autorisation gérée détermine ce que les principaux utilisateurs des autres comptes peuvent faire avec les ressources du partage de ressources.

    Le comportement de l'autorisation dépend du type de principal :

    • Si le principal se trouve dans un compte différent de celui qui possède la ressource, les autorisations associées au partage de ressources sont les autorisations maximales pouvant être accordées aux rôles et aux utilisateurs de ces comptes. L'administrateur de ces comptes doit ensuite accorder aux rôles individuels et aux utilisateurs l'accès à la ressource partagée selon des politiques basées sur l'identité IAM. Les autorisations accordées dans ces politiques ne peuvent pas dépasser celles définies dans les autorisations associées au partage de ressources.

Le compte propriétaire des ressources conserve la pleine propriété des ressources qu'il partage.

Utilisation de ressources partagées

Lorsque le propriétaire d'une ressource la partage avec votre compte, vous pouvez accéder à la ressource partagée comme vous le feriez si votre compte en était propriétaire. Vous pouvez accéder à la ressource en utilisant la console, les AWS CLI commandes et les opérations d'API du service concerné. Les opérations d'API que les principaux de votre compte sont autorisés à effectuer varient en fonction du type de ressource et sont spécifiées par l' AWS RAM autorisation attachée au partage de ressources. Toutes les politiques IAM et les politiques de contrôle des services configurées dans votre compte continuent également de s'appliquer, ce qui vous permet de tirer parti de vos investissements existants dans les contrôles de sécurité et de gouvernance.

Lorsque vous accédez à une ressource partagée en utilisant le service de cette ressource, vous avez les mêmes capacités et limites Compte AWS que le propriétaire de la ressource.

  • Si la ressource est régionale, vous ne pouvez y accéder qu'à partir de Région AWS celle dans laquelle elle existe dans le compte propriétaire.

  • Si la ressource est globale, vous pouvez y accéder depuis n'importe quel Région AWS outil pris en charge par la console de service et les outils de la ressource. Vous pouvez afficher et gérer le partage des ressources et ses ressources globales dans la AWS RAM console et les outils uniquement dans la région d'origine désignée, à savoir l'est des États-Unis (Virginie du Nord)us-east-1.

Accès AWS RAM

Vous pouvez travailler avec AWS RAM l'une des méthodes suivantes :

AWS RAM console

AWS RAM fournit une interface utilisateur basée sur le Web, la AWS RAM console. Si vous vous êtes inscrit à un Compte AWS, vous pouvez accéder à la AWS RAM console en vous connectant à la page d'accueil de la console AWS Management Consoleet en choisissant sur la page AWS RAM d'accueil de la console.

Vous pouvez également accéder directement à la AWS RAM console dans votre navigateur. Si vous n'êtes pas encore connecté, vous êtes invité à le faire avant que la console n'apparaisse.

AWS CLI et outils pour Windows PowerShell

Les AWS CLI et Outils AWS pour PowerShell fournissent un accès direct aux opérations AWS RAM publiques de l'API. AWS prend en charge ces outils sur Windows, macOS, et Linux. Pour plus d'informations sur la mise en route, consultez le guide de AWS Command Line Interface l'utilisateur ou le guide de AWS Tools for Windows PowerShell l'utilisateur. Pour plus d'informations sur les commandes pour AWS RAM, consultez la référence des commandes ou la référence des AWS Tools for Windows PowerShell applets de AWS CLI commande.

AWS SDKs

AWS fournit des commandes d'API pour un large éventail de langages de programmation. Pour plus d'informations sur la mise en route, consultez le guide de référence AWS SDKs et Tools.

API de requête

Si vous n'utilisez pas l'un des langages de programmation pris en charge, l'API de requête AWS RAM HTTPS vous donne un accès programmatique à AWS RAM et AWS. Avec l' AWS RAM API, vous pouvez envoyer des requêtes HTTPS directement au service. Lorsque vous utilisez l' AWS RAM API, vous devez inclure du code pour signer numériquement les demandes à l'aide de vos informations d'identification. Pour plus d’informations, consultez la page Référence de l’API AWS RAM.

Tarification pour AWS RAM

Aucuns frais supplémentaires ne sont facturés pour l'utilisation AWS RAM ou la création de partages de ressources et pour le partage de vos ressources entre comptes. Les coûts d'utilisation des ressources varient en fonction du type de ressource. Pour plus d'informations sur le mode AWS de facturation des ressources partageables, consultez la documentation relative au service propriétaire de la ressource.

Conformité et normes internationales

PCI DSS

AWS RAM prend en charge le traitement, le stockage et la transmission des données de carte de crédit par un commerçant ou un fournisseur de services, et sa conformité à la norme de sécurité des données (DSS) de l'industrie des cartes de paiement (PCI) a été validée.

Pour plus d’informations sur PCI DSS, et notamment sur la manière de demander une copie du package de conformité PCI AWS , consultez PCI DSS, niveau 1.

FedRAMP

AWS RAM est autorisé en tant que FedRAMP Moderate dans les pays Régions AWS suivants : USA Est (Virginie du Nord), USA Est (Ohio), USA Ouest (Californie du Nord) et USA Ouest (Oregon).

AWS RAM est autorisé sous le nom de FedRAMP High dans les pays Régions AWS suivants AWS GovCloud  : (US-West) et (US-East). AWS GovCloud

Le Federal Risk and Authorization Management Program (FedRAMP) est un programme gouvernemental qui fournit une approche standard de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue pour les produits et services de cloud.

Pour plus d'informations sur la conformité à FedRAMP, consultez FedRAMP.

SOC et ISO

AWS RAM peut être utilisé pour les charges de travail soumises à la conformité au contrôle de l'organisation des services (SOC) et aux normes ISO 9001, ISO 27001, ISO 27017, ISO 27018 et ISO 27701 de l'Organisation internationale de normalisation (ISO). Les clients des secteurs de la finance, de la santé et d'autres secteurs réglementés peuvent obtenir des informations sur les processus et contrôles de sécurité qui protègent les données des clients. Ces informations figurent dans les rapports SOC, ainsi que dans AWS Artifactles certificats AWS ISO et CSA STAR.

Pour plus d'informations sur la conformité aux normes SOC, consultez la section SOC.

Pour plus d'informations sur la conformité ISO, voir ISO 9001, ISO 27001, ISO 27017, ISO 27018 et ISO 27701.

Rubrique suivante :

Premiers pas

Avez-vous besoin d’aide ?

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.