Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Apakah AWS Resource Access Manager itu?
AWS Resource Access Manager(AWS RAM) membantu Anda membagikan sumber daya dengan aman di seluruhAkun AWS, dalam organisasi atau unit organisasi (OU), dan dengan peran dan penggunaAWS Identity and Access Management (IAM) untuk jenis sumber daya yang didukung. Jika Anda memiliki beberapaAkun AWS, Anda dapat membuat sumber daya sekali dan gunakanAWS RAM untuk membuat sumber daya itu dapat digunakan oleh akun lain tersebut. Jika akun Anda dikelola olehAWS Organizations, Anda dapat berbagi sumber daya dengan semua akun lain di organisasi atau hanya akun yang terkandung oleh satu atau lebih unit organisasi tertentu (oU). Anda juga dapat berbagi dengan ID akun tertentuAkun AWS, terlepas dari apakah akun tersebut merupakan bagian dari organisasi. Beberapa jenis sumber daya yang didukung juga memungkinkan Anda membagikannya dengan peran dan pengguna IAM tertentu.
Daftar Isi
Ikhtisar video
Video berikut memberikan pengantar singkatAWS RAM dan menjelaskan cara membuat pembagian sumber daya. Untuk informasi selengkapnya, lihat Membuat pembagian sumber daya di AWS RAM.
Video berikut menunjukkan cara menerapkan izinAWS terkelola keAWS sumber daya Anda. Untuk informasi selengkapnya, lihat Mengelola izin diAWS RAM.
Video ini menunjukkan cara menulis dan mengasosiasikan izin terkelola pelanggan mengikuti praktik terbaik dengan hak istimewa yang paling tidak. Untuk informasi lebih lanjut, lihatMembuat dan menggunakan izin terkelola pelanggan diAWS RAM.
Manfaat dariAWS RAM
Mengapa menggunakan AWS RAM? Ini menawarkan manfaat berikut:
-
Mengurangi biaya operasional Anda — Buat sumber daya satu kali, lalu gunakanAWS RAM untuk membagikan sumber daya tersebut dengan akun lain. Ini menghilangkan kebutuhan untuk menyediakan sumber daya duplikat di setiap akun, yang mengurangi overhead operasional. Dalam akun yang memiliki sumber daya,AWS RAM menyederhanakan pemberian akses ke setiap peran dan pengguna di akun tersebut tanpa harus menggunakan kebijakan izin berbasis identitas.
-
Memberikan keamanan dan konsistensi — Sederhanakan manajemen keamanan untuk sumber daya bersama Anda dengan menggunakan satu set kebijakan dan izin. Jika Anda ingin membuat sumber daya duplikat di semua akun terpisah, Anda akan memiliki tugas untuk menerapkan kebijakan dan izin yang identik, dan kemudian harus menjaganya tetap identik di semua akun tersebut. Sebaliknya, semua pengguna berbagiAWS RAM sumber daya dikelola oleh satu set kebijakan dan izin. AWS RAMmenawarkan pengalaman konsisten untuk berbagi berbagai jenisAWS sumber daya.
-
Menyediakan visibilitas dan kemampuan audit — Lihat detail penggunaan untuk sumber daya bersama Anda melalui integrasiAWS RAM dengan Amazon CloudWatch danAWS CloudTrail. AWS RAMmemberikan visibilitas komprehensif ke sumber daya dan akun bersama.
Bagaimana dengan akses lintas akun dengan kebijakan berbasis sumber daya?
Anda dapat membagikan beberapa jenisAWS sumber daya dengan yang lainAkun AWS dengan melampirkan kebijakan berbasis sumber daya yang mengidentifikasi prinsipalAWS Identity and Access Management (IAM) (peran IAM dan pengguna) di luar AndaAkun AWS. Namun, berbagi sumber daya dengan melampirkan kebijakan tidak memanfaatkan manfaat tambahan yangAWS RAM diberikan. Dengan menggunakanAWS RAM Anda mendapatkan fitur-fitur berikut:
-
Anda dapat berbagi dengan organisasi atau unit organisasi (OU) tanpa harus menghitung setiapAkun AWS ID.
-
Pengguna dapat melihat sumber daya yang dibagikan langsung dengan mereka diLayanan AWS konsol asal dan operasi API seolah-olah sumber daya tersebut langsung ada di akun pengguna. Misalnya, jika Anda menggunakanAWS RAM subnet Amazon VPC dengan akun lain, pengguna di akun tersebut dapat melihat subnet di konsol Amazon VPC dan dalam hasil operasi Amazon VPC API yang dilakukan di akun tersebut. Sumber daya yang dibagikan dengan melampirkan kebijakan berbasis sumber daya tidak terlihat seperti ini; sebagai gantinya, Anda harus menemukan dan secara eksplisit merujuk ke sumber daya dengan Amazon Resource Name (ARN).
-
Pemilik sumber daya dapat melihat prinsipal mana yang memiliki akses ke setiap sumber daya individu yang telah mereka bagikan.
-
Jika Anda berbagi sumber daya dengan akun yang bukan bagian dari organisasiAWS RAM, maka lakukan proses undangan. Penerima harus menerima undangan sebelum kepala sekolah tersebut dapat mengakses sumber daya bersama. Setelah mengaktifkan kemampuan untuk berbagi dalam organisasi, berbagi dengan akun di organisasi tidak memerlukan undangan.
Jika Anda memiliki sumber daya yang telah Anda bagikan menggunakan kebijakan izin berbasis sumber daya, Anda dapat mempromosikan sumber daya tersebut ke sumber daya yangAWS RAM dikelola sepenuhnya dengan melakukan salah satu hal berikut:
-
Gunakan Operasi API PromoteResourceShareCreatedFromPolicy.
-
Gunakan setara operasi API, yang merupakan promote-resource-share-created-from-policyperintahAWS Command Line Interface (AWS CLI).
Cara kerja berbagi sumber daya
Ketika Anda berbagi sumber daya di akun kepemilikan dengan yang lainAkun AWS, akun konsumsi, Anda memberikan akses kepada prinsipal dalam akun konsumsi ke sumber daya bersama. Kebijakan dan izin apa pun yang berlaku untuk peran dan pengguna di akun konsumsi juga berlaku untuk sumber daya bersama. Sumber daya dalam berbagi terlihat seperti sumber daya asli yangAkun AWS Anda bagikan.
Anda dapat berbagi sumber daya global dan Regional. Untuk informasi selengkapnya, lihat Berbagi sumber daya Regional dibandingkan dengan sumber daya global.
Berbagi sumber daya Anda
Dengan, AWS RAMAnda dapat berbagi sumber daya yang Anda miliki dengan membuat berbagi sumber daya. Untuk membuat pembagian sumber daya, Anda menentukan hal berikut:
-
Wilayah AWSDi mana Anda ingin membuat pembagian sumber daya. Di konsol, Anda memilih dari menu dropdown Region di sudut kanan atas konsol. DalamAWS CLI, Anda menggunakan
--regionparameter.-
Pembagian sumber daya hanya dapat berisi sumber daya Regional yangWilayah AWS sama dengan pangsa sumber daya.
-
Pembagian sumber daya dapat berisi sumber daya global hanya jika pangsa sumber daya berada di Wilayah asal yang ditunjuk untuk sumber daya global, AS Timur (Virginia Utara),
us-east-1.
-
-
Nama untuk pembagian sumber daya.
-
Daftar sumber daya yang ingin Anda berikan akses sebagai bagian dari pembagian sumber daya ini.
-
Prinsipal tempat Anda memberikan akses ke pembagian sumber daya. Kepala sekolah dapat individuAkun AWS, akun dalam organisasi atau unit organisasi (OU) diAWS Organizations, atau individuAWS Identity and Access Management (IAM) peran atau pengguna.
catatan
Tidak semua jenis sumber daya dapat dibagikan dengan peran dan pengguna. Untuk informasi tentang sumber daya yang dapat Anda bagikan dengan prinsipal ini, lihatSumber daya yang dapat dibagikan AWS.
-
Izin terkelola untuk dikaitkan dengan setiap jenis sumber daya yang Anda sertakan dalam pembagian sumber daya. Izin yang dikelola menentukan apa yang dapat dilakukan prinsipal di akun lain dengan sumber daya dalam pembagian sumber daya.
Perilaku izin tergantung jenis:
-
Jika prinsipal berada di akun yang berbeda dari akun yang memiliki sumber daya, maka izin yang dilampirkan pada pangsa sumber daya adalah izin maksimum yang tersedia untuk diberikan kepada peran dan pengguna di akun tersebut. Administrator akun tersebut kemudian harus memberikan peran individu dan pengguna akses ke sumber daya bersama dengan kebijakan berbasis identitas IAM. Izin yang diberikan dalam kebijakan tersebut tidak dapat melebihi yang ditentukan dalam izin yang dilampirkan pada pembagian sumber daya.
-
Akun kepemilikan sumber daya mempertahankan kepemilikan penuh atas sumber daya yang dibagikannya.
Menggunakan sumber daya bersama
Ketika pemilik sumber daya membagikannya dengan akun Anda, Anda dapat mengakses sumber daya bersama seperti yang Anda lakukan jika akun Anda memilikinya. Anda dapat mengakses sumber daya dengan menggunakan konsol,AWS CLI perintah, dan operasi API layanan yang relevan. Operasi API yang diizinkan dilakukan oleh prinsipal di akun Anda bervariasi tergantung pada jenis sumber daya dan ditentukan olehAWS RAM izin yang dilampirkan ke pembagian sumber daya. Semua kebijakan IAM dan kebijakan kontrol layanan yang dikonfigurasi di akun Anda juga terus berlaku, yang memungkinkan Anda memanfaatkan investasi yang ada dalam kontrol keamanan dan tata kelola.
Saat mengakses sumber daya bersama menggunakan layanan sumber daya tersebut, Anda memiliki kemampuan dan batasan yang sama dengan sumber dayaAkun AWS yang dimiliki.
-
Jika sumber daya Regional, maka Anda dapat mengaksesnya dari hanyaWilayah AWS di mana ia ada di akun kepemilikan.
-
Jika sumber daya bersifat global, maka Anda dapat mengaksesnya dari apa punWilayah AWS yang didukung oleh konsol layanan dan alat sumber daya. Anda dapat melihat dan mengelola pangsa sumber daya dan sumber daya globalnya diAWS RAM konsol dan alat hanya di Wilayah rumah yang ditunjuk, AS Timur (Virginia N.),
us-east-1.
Mengakses AWS RAM
Anda dapat bekerja dengan AWS RAM dengan salah satu cara berikut:
- Konsol AWS RAM
-
AWS RAMmenyediakan antarmuka pengguna berbasis web,AWS RAM konsol. Jika Anda telah mendaftar untukAkun AWS, Anda dapat mengaksesAWS RAM konsol dengan masuk ke AWS Management Console
dan memilihAWS RAM dari halaman beranda konsol. Anda juga dapat menavigasi di browser Anda langsung ke AWS RAMkonsol
. Jika Anda belum masuk, maka Anda diminta untuk melakukannya sebelum konsol muncul. - AWS CLIdan Alat untuk Windows PowerShell
-
TheAWS CLI danAWS Tools for PowerShell menyediakan akses langsung ke operasi APIAWS RAM publik. AWSmendukung alat-alat ini padaWindowsmacOS,, danLinux. Untuk informasi lebih lanjut tentang memulai, atau PanduanAWS Tools for Windows PowerShell Pengguna.AWS Command Line Interface Untuk informasi lebih lanjut tentang perintahAWS RAM, lihat ReferensiAWS CLI Perintah atau ReferensiAWS Tools for Windows PowerShell Cmdlet.
- AWS SDK
-
AWSmenyediakan perintah API untuk serangkaian bahasa pemrograman yang luas. Untuk informasi lebih lanjut tentang memulai, lihat Panduan ReferensiAWS SDK dan Alat.
- API Kueri
-
Jika Anda tidak menggunakan salah satu bahasa pemrograman yang didukung, makaAWS RAM HTTPS Query API memberi Anda akses terprogram keAWS RAM danAWS. DenganAWS RAM API, Anda dapat mengeluarkan permintaan HTTPS langsung ke layanan. Saat Anda menggunakanAWS RAM API, Anda harus menyertakan kode untuk menandatangani permintaan secara digital menggunakan kredensyal Anda. Untuk informasi lebih lanjut, lihat Referensi API AWS RAM.
Harga untuk AWS RAM
Tidak ada biaya tambahan untuk menggunakanAWS RAM atau untuk membuat berbagi sumber daya dan berbagi sumber daya Anda di seluruh akun. Biaya penggunaan sumber daya bervariasi tergantung pada jenis sumber daya. Untuk informasi lebih lanjut tentang caraAWS menagih, lihat dokumentasi untuk layanan memiliki sumber daya.
Kepatuhan dan standar internasional
PCI DSS
AWS RAM mendukung pemrosesan, penyimpanan, dan transmisi data kartu kredit oleh merchant atau penyedia layanan, dan telah divalidasi sebagai sesuai dengan Standar Keamanan Data (DSS) Industri Kartu Pembayaran (PCI).
Untuk informasi lebih lanjut tentang PCI DSS, termasuk cara meminta salinan AWS PCI Compliance Package, lihat PCI DSS Level 1
FedRAMP
AWS RAMdiberi wewenang sebagai FedRAMP ModerateWilayah AWS: US East (N. Virginia), US East (Ohio), US West (Oregon), dan US West (Oregon), dan US West (Oregon), US West (Oregon), dan US West (Oregon), US West (Oregon), dan US West (Oregon).
AWS RAMdiberi wewenang sebagai FedRAMP High sebagai berikutWilayah AWS:AWS GovCloud (AS-Barat) danAWS GovCloud (AS-timur).
Program Manajemen Risiko dan Otorisasi Federal (FedRAMP) adalah program di seluruh pemerintah AS yang memberikan pendekatan standar untuk penilaian keamanan, otorisasi, dan pemantauan berkelanjutan untuk produk dan layanan cloud.
Untuk informasi lebih lanjut tentang kepatuhan FedRAMP, lihat FedRAMP
SOC dan ISO
AWS RAMdapat digunakan untuk beban kerja yang tunduk pada kepatuhan Service Organization Control (SOC) dan Standar Organisasi Internasional untuk Standardisasi (ISO) ISO 9001, ISO 27001, ISO 27017, ISO 27018, dan ISO 27701. Pelanggan di bidang keuangan, perawatan kesehatan, dan sektor teregulasi lainnya dapat memperoleh wawasan tentang proses dan kontrol keamanan yang melindungi data pelanggan yang dapat ditemukan dalam laporan SOC, serta sertifikatAWS ISO dan CSA STAR di AWS Artifact
Untuk informasi lebih lanjut tentang kepatuhan SOC, lihat SOC
Untuk informasi selengkapnya tentang kepatuhan ISO, lihat ISO 9001
