Condivisione delle risorse Account di condivisione Principi di consumo Policy basata su risorse Autorizzazioni gestite Versione con autorizzazione gestita

Termini e concetti per AWS RAM

I seguenti concetti aiutano a spiegare come è possibile utilizzare AWS Resource Access Manager (AWS RAM) per condividere le proprie risorse.

Le risorse vengono condivise AWS RAM tramite la creazione di una condivisione di risorse. Una condivisione di risorse è composta dai tre elementi seguenti:

Un elenco di una o più AWS risorse da condividere.
Un elenco di uno o più responsabili a cui è concesso l'accesso alle risorse.
Un'autorizzazione gestita per ogni tipo di risorsa inclusa nella condivisione. Ogni autorizzazione gestita si applica a tutte le risorse di quel tipo in quella condivisione di risorse.

Dopo aver creato una condivisione di risorse, AWS RAM ai principali specificati nella condivisione di risorse può essere concesso l'accesso alle risorse della condivisione.

Se attivi la AWS RAM condivisione con AWS Organizations e i tuoi responsabili della condivisione fanno parte della stessa organizzazione dell'account di condivisione, tali responsabili possono ricevere l'accesso non appena l'amministratore dell'account concede loro le autorizzazioni per utilizzare le risorse utilizzando una AWS Identity and Access Management politica di autorizzazione (). IAM
Se non attivi la AWS RAM condivisione con Organizations, puoi comunque condividere le risorse con le persone Account AWS che fanno parte della tua organizzazione. L'amministratore dell'account consumatore riceve un invito a partecipare alla condivisione di risorse e deve accettare l'invito prima che i responsabili specificati nella condivisione delle risorse possano accedere alle risorse condivise.
È inoltre possibile condividere con account esterni all'organizzazione, se il tipo di risorsa lo supporta. L'amministratore dell'account consumatore riceve un invito a partecipare alla condivisione di risorse e deve accettare l'invito prima che i responsabili specificati nella condivisione delle risorse possano accedere alle risorse condivise. Per informazioni sui tipi di risorse che supportano questo tipo di condivisione, consulta Risorse condivisibili AWS e visualizza la colonna Può condividere con account esterni alla propria organizzazione.

L'account di condivisione contiene la risorsa condivisa e in cui l' AWS RAM amministratore crea la condivisione di AWS risorse utilizzando AWS RAM.

Un AWS RAM amministratore è un IAM principale che dispone delle autorizzazioni per creare e configurare condivisioni di risorse in. Account AWS Poiché AWS RAM funziona associando una politica basata sulle risorse alle risorse in una condivisione di risorse, l' AWS RAM amministratore deve inoltre disporre delle autorizzazioni per richiamare l'PutResourcePolicyoperazione specificata Servizio AWS per ogni tipo di risorsa incluso in una condivisione di risorse.

Principi di consumo

L'account di consumo è l'account Account AWS con cui viene condivisa una risorsa. La condivisione delle risorse può specificare un intero account come principale o, per alcuni tipi di risorse, singoli ruoli o utenti dell'account. Per informazioni sui tipi di risorse che supportano questo tipo di condivisione, consulta Risorse condivisibili AWS e visualizza la colonna Può condividere con IAM ruoli e utenti.

AWS RAM supporta anche i responsabili del servizio in quanto consumatori di condivisioni di risorse. Per informazioni sui tipi di risorse che supportano questo tipo di condivisione, consulta Risorse condivisibili AWS e visualizza la colonna Può condividere con i responsabili del servizio.

I responsabili dell'account consumatore possono eseguire solo le azioni consentite da entrambe le seguenti autorizzazioni:

Le autorizzazioni gestite allegate alla condivisione delle risorse. Queste specificano le autorizzazioni massime che possono essere concesse ai responsabili dell'account di consumo.
Le politiche IAM basate sull'identità associate ai singoli ruoli o utenti dall'IAMamministratore dell'account utente. Tali politiche devono garantire Allow l'accesso a azioni specifiche e all'Amazon Resource Name (ARN) di una risorsa nell'account di condivisione.

AWS RAM supporta i seguenti tipi IAM principali in qualità di consumatori di condivisioni di risorse:

Un altro Account AWS: la condivisione delle risorse rende disponibili all'account di condivisione le risorse incluse nell'account di condivisione all'account consumatore.
IAMRuoli o utenti individuali in un altro account: alcuni tipi di risorse supportano la condivisione diretta con singoli IAM ruoli o utenti. Specificate questo tipo principale in base al suoARN.
- IAMruolo — arn:aws:iam::123456789012:role/rolename
- IAMutente — arn:aws:iam::123456789012:user/username
Responsabile del servizio: condividi una risorsa con un AWS servizio per concedere al servizio l'accesso a una condivisione di risorse. La condivisione dei principali del servizio consente a un AWS servizio di intraprendere azioni per conto dell'utente per alleggerire l'onere operativo.

Per condividere con un responsabile del servizio, scegli di consentire la condivisione con chiunque, quindi, in Seleziona il tipo principale, scegli Service principal dall'elenco a discesa. Specificate il nome del responsabile del servizio nel seguente formato:
- service-id.amazonaws.com
Per ridurre il rischio di confusione, la politica delle risorse mostra l'ID dell'account del proprietario della risorsa nella chiave di aws:SourceAccount condizione.
Account di un'organizzazione: se l'account di condivisione è gestito da AWS Organizations, la condivisione delle risorse può specificare l'ID dell'organizzazione da condividere con tutti gli account dell'organizzazione. La condivisione di risorse può in alternativa specificare un ID di unità organizzativa (OU) da condividere con tutti gli account di quell'unità organizzativa. Un account di condivisione può condividere solo con la propria organizzazione o unità organizzativa IDs all'interno della propria organizzazione. Specificare gli account ARN di un'organizzazione in base all'organizzazione o all'unità organizzativa.
- Tutti gli account di un'organizzazione: di seguito è riportato un esempio ARN di organizzazione in AWS Organizations:
  
  arn:aws:organizations::123456789012:organization/o-<orgid>
- Tutti gli account di un'unità organizzativa: di seguito è riportato un esempio ARN di ID OU:
  
  arn:aws:organizations::123456789012:organization/o-<orgid>/ou-<rootid>-<ouid>
Importante
Quando si condivide con un'organizzazione o un'unità organizzativa e tale ambito include l'account proprietario della condivisione di risorse, tutti i responsabili dell'account di condivisione ottengono automaticamente l'accesso alle risorse della condivisione. L'accesso concesso è definito dalle autorizzazioni gestite associate alla condivisione. Ciò è dovuto al fatto che AWS RAM la politica basata sulle risorse associata a ciascuna risorsa della condivisione utilizza. "Principal": "*" Per ulteriori informazioni, consulta Implicazioni dell'uso "Principal": "*" in una politica basata sulle risorse.
I responsabili degli altri account di consumo non hanno accesso immediato alle risorse della condivisione. Gli amministratori degli altri account devono prima allegare politiche di autorizzazione basate sull'identità ai principali appropriati. Tali politiche devono concedere Allow l'accesso alle singole risorse ARNs della condivisione di risorse. Le autorizzazioni contenute in tali politiche non possono superare quelle specificate nell'autorizzazione gestita associata alla condivisione di risorse.

Policy basata su risorse

Le politiche basate sulle risorse sono documenti di JSON testo che implementano il linguaggio delle politiche. IAM A differenza delle politiche basate sull'identità associate al principale, ad esempio un IAM ruolo o un utente, alla risorsa vengono allegate politiche basate sulle risorse. AWS RAM crea politiche basate sulle risorse per tuo conto in base alle informazioni fornite per la condivisione delle risorse. È necessario specificare un elemento di Principal policy che determini chi può accedere alla risorsa. Per ulteriori informazioni, vedere Politiche basate sull'identità e politiche basate sulle risorse nella Guida per l'utente. IAM

Le politiche basate sulle risorse generate da vengono valutate insieme a tutti gli altri tipi di AWS RAM policy. IAM Ciò include tutte le politiche IAM basate sull'identità associate ai responsabili che stanno tentando di accedere alla risorsa, e le politiche di controllo dei servizi () che potrebbero applicarsi a. SCPs AWS Organizations Account AWS Le politiche basate sulle risorse generate da AWS RAM partecipano alla stessa logica di valutazione delle politiche di tutte le altre politiche. IAM Per i dettagli completi sulla valutazione delle politiche e su come determinare le autorizzazioni risultanti, consulta Logica di valutazione delle politiche nella Guida per l'utente. IAM

AWS RAM offre un'esperienza di condivisione delle risorse semplice e sicura fornendo policy di easy-to-use astrazione basate sulle risorse.

Per quei tipi di risorse che supportano le politiche basate sulle risorse, crea e gestisce AWS RAM automaticamente le politiche basate sulle risorse per te. Per una determinata risorsa, AWS RAM crea la politica basata sulle risorse combinando le informazioni provenienti da tutte le condivisioni di risorse che includono quella risorsa. Ad esempio, considera una pipeline Amazon SageMaker AI che condividi utilizzando AWS RAM e includi in due diverse condivisioni di risorse. Puoi utilizzare una condivisione di risorse per fornire l'accesso in sola lettura all'intera organizzazione. È quindi possibile utilizzare l'altra condivisione di risorse per concedere solo le autorizzazioni di esecuzione dell' SageMaker IA a un singolo account. AWS RAM combina automaticamente questi due diversi set di autorizzazioni in un'unica politica di risorse con più istruzioni. Quindi allega la politica combinata basata sulle risorse alla risorsa della pipeline. È possibile visualizzare questa politica di base in materia di risorse chiamando il GetResourcePolicyoperazione. Servizi AWS utilizza quindi tale politica basata sulle risorse per autorizzare qualsiasi principale che tenti di eseguire un'azione sulla risorsa condivisa.

Sebbene sia possibile creare manualmente le politiche basate sulle risorse e collegarle alle risorse chiamandoPutResourcePolicy, si consiglia di AWS RAM utilizzarle perché offre i seguenti vantaggi:

Disponibilità per gli utenti condivisi: se condividi le risorse utilizzando AWS RAM, gli utenti possono visualizzare tutte le risorse condivise con loro direttamente nella console del servizio di gestione delle risorse e API operare come se tali risorse fossero direttamente nell'account dell'utente. Ad esempio, se condividi un AWS CodeBuild progetto con un altro account, gli utenti dell'account consumatore possono vedere il progetto nella CodeBuild console e i risultati delle CodeBuild API operazioni eseguite. Le risorse condivise allegando direttamente una politica basata sulle risorse non sono visibili in questo modo. Invece, è necessario scoprire e fare riferimento esplicitamente alla risorsa tramite la sua. ARN
Gestibilità per i proprietari di azioni: se condividi risorse utilizzando AWS RAM, i proprietari delle risorse dell'account di condivisione possono vedere centralmente quali altri account hanno accesso alle proprie risorse. Se condividi una risorsa utilizzando una politica basata sulle risorse, puoi visualizzare gli account di consumo solo esaminando la politica per le singole risorse nella console di servizio pertinente o. API
Efficienza: se condividi le risorse utilizzando AWS RAM, puoi condividere più risorse e gestirle come un'unità. Le risorse condivise utilizzando solo politiche basate sulle risorse richiedono politiche individuali allegate a ogni risorsa condivisa.
Semplicità: non è necessario comprendere il linguaggio delle politiche JSON basato IAM sulle politiche. AWS RAM AWS RAM fornisce autorizzazioni ready-to-use AWS gestite tra cui scegliere da allegare alle condivisioni di risorse.

Utilizzando AWS RAM, puoi persino condividere alcuni tipi di risorse che non supportano ancora le politiche basate sulle risorse. Per tali tipi di risorse, genera AWS RAM automaticamente una politica basata sulle risorse come rappresentazione delle autorizzazioni effettive. Gli utenti possono visualizzare questa rappresentazione chiamando GetResourcePolicy. Ciò include i seguenti tipi di risorse:

Amazon Aurora — cluster DB
AmazonEC2: prenotazioni di capacità e host dedicati
AWS License Manager — Configurazioni delle licenze
AWS Outposts — Tabelle di routing, avamposti e siti dei gateway locali
Amazon Route 53 — Regole di inoltro
Amazon Virtual Private Cloud: IPv4 indirizzi, elenchi di prefissi, sottoreti, target Traffic Mirror, gateway di transito e domini multicast di gateway di transito di proprietà del cliente

AWS RAM Esempi di politiche generate basate sulle risorse

Se condividi una risorsa EC2 immagine Image Builder con un account individuale, AWS RAM genera una policy simile all'esempio seguente e la allega a tutte le risorse di immagine incluse nella condivisione di risorse.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::123456789012:root"},
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
        }
    ]
}

Se condividi una risorsa EC2 immagine Image Builder con un IAMruolo o un utente in un altro ruolo Account AWS, AWS RAM genera una policy simile all'esempio seguente e la allega a tutte le risorse di immagine incluse nella condivisione di risorse.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:role/MySampleRole"
      },
      "Action": [
          "imagebuilder:GetImage",
          "imagebuilder:ListImages",
      ],
      "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
    }
  ]
}

Se si condivide una risorsa EC2 immagine Image Builder con tutti gli account di un'organizzazione o con gli account di un'unità organizzativa, AWS RAM genera una politica simile all'esempio seguente e la allega a tutte le risorse di immagine incluse nella condivisione di risorse.

Nota

Questa politica utilizza "Principal": "*" e quindi utilizza l'"Condition"elemento per limitare le autorizzazioni alle identità che corrispondono a quelle specificate. PrincipalOrgID Per ulteriori informazioni, consulta Implicazioni dell'uso "Principal": "*" in una politica basata sulle risorse.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "imagebuilder:GetImage",
                "imagebuilder:ListImages",
            ],
            "Resource": "arn:aws:imagebuilder:us-east-1:123456789012:image/testimage/1.0.0/44"
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-123456789"
                }
            }
        }
    ]
}

Implicazioni dell'uso "Principal": "*" in una politica basata sulle risorse

Quando "Principal": "*" includi una politica basata sulle risorse, la politica concede l'accesso a tutti IAM i principali dell'account che contiene la risorsa, fatte salve le restrizioni imposte da un elemento, se esistente. Condition DenyLe dichiarazioni esplicite in qualsiasi politica che si applica al principale chiamante prevalgono sulle autorizzazioni concesse da questa politica. Tuttavia, una politica implicita Deny (vale a dire la mancanza di un elemento esplicitoAllow) in qualsiasi politica di identità, permessi, limiti di sessione o policy di sessione applicabile non comporta la concessione ai principali di accedere Deny a un'azione mediante tale politica basata sulle risorse.

Se questo comportamento non è auspicabile per il tuo scenario, puoi limitarlo aggiungendo una Deny dichiarazione esplicita a una politica di identità, un limite di autorizzazioni o una politica di sessione che influenzi i ruoli e gli utenti pertinenti.

Autorizzazioni gestite

Le autorizzazioni gestite definiscono quali azioni possono eseguire i responsabili in quali condizioni sui tipi di risorse supportati in una condivisione di risorse. Quando si crea una condivisione di risorse, è necessario specificare quale autorizzazione gestita utilizzare per ogni tipo di risorsa incluso nella condivisione di risorse. Un'autorizzazione gestita elenca l'insieme actions e le condizioni che i responsabili possono eseguire con la risorsa condivisa utilizzando AWS RAM.

È possibile allegare una sola autorizzazione gestita per ogni tipo di risorsa in una condivisione di risorse. Non è possibile creare una condivisione di risorse in cui alcune risorse di un determinato tipo utilizzino un'autorizzazione gestita e altre risorse dello stesso tipo utilizzino un'autorizzazione gestita diversa. A tale scopo, è necessario creare due diverse condivisioni di risorse e suddividere le risorse tra di esse, assegnando a ciascun set un'autorizzazione gestita diversa. Esistono due diversi tipi di autorizzazioni gestite:

AWS autorizzazioni gestite

AWS le autorizzazioni gestite vengono create e gestite da AWS e concedono autorizzazioni per scenari di clienti comuni. AWS RAM definisce almeno un'autorizzazione AWS gestita per ogni tipo di risorsa supportata. Alcuni tipi di risorse supportano più di un'autorizzazione AWS gestita, con un'autorizzazione gestita designata come AWS predefinita. L'autorizzazione AWS gestita predefinita è associata a meno che non venga specificato diversamente.

Autorizzazioni gestite dal cliente

Le autorizzazioni gestite dai clienti sono autorizzazioni gestite che puoi creare e gestire specificando con precisione quali azioni possono essere eseguite in quali condizioni con l'utilizzo condiviso delle risorse. AWS RAM Ad esempio, desideri limitare l'accesso in lettura per i tuoi pool di Amazon VPC IP Address Manager (IPAM), che ti aiutano a gestire i tuoi indirizzi IP su larga scala. Puoi creare autorizzazioni gestite dal cliente per consentire ai tuoi sviluppatori di assegnare indirizzi IP, ma non visualizzare l'intervallo di indirizzi IP assegnati da altri account sviluppatore. Puoi seguire la best practice del privilegio minimo, concedendo solo le autorizzazioni necessarie per eseguire attività su risorse condivise.

È possibile definire le proprie autorizzazioni per un tipo di risorsa in una condivisione di risorse con la possibilità di aggiungere condizioni come chiavi di contesto globali e chiavi specifiche del servizio per specificare le condizioni in base alle quali i principali hanno accesso alla risorsa. Queste autorizzazioni possono essere utilizzate in una o più AWS RAM condivisioni. Le autorizzazioni gestite dal cliente sono specifiche della regione.

AWS RAM utilizza le autorizzazioni gestite come input per creare le politiche basate sulle risorse per le risorse condivise.

Versione con autorizzazione gestita

Qualsiasi modifica a un'autorizzazione gestita viene rappresentata come una nuova versione di tale autorizzazione gestita. La nuova versione è l'impostazione predefinita per tutte le nuove condivisioni di risorse. Ogni autorizzazione gestita ha sempre una versione designata come versione predefinita. Quando si AWS crea o si crea una nuova versione di autorizzazione gestita, è necessario aggiornare in modo esplicito l'autorizzazione gestita per ogni condivisione di risorse esistente. In questo passaggio puoi valutare le modifiche prima di applicarle alla tua condivisione di risorse. Tutte le nuove condivisioni di risorse utilizzeranno automaticamente la nuova versione dell'autorizzazione gestita per il tipo di risorsa corrispondente.

AWS versioni con autorizzazione gestita: AWS gestisce tutte le modifiche alle autorizzazioni AWS gestite. Tali modifiche risolvono nuove funzionalità o eliminano le carenze rilevate. Puoi applicare solo la versione di autorizzazione gestita predefinita alle tue condivisioni di risorse.
Versioni con autorizzazione gestita dal cliente: Gestisci tutte le modifiche alle autorizzazioni gestite dai clienti. Puoi creare una nuova versione predefinita, impostare una versione precedente come predefinita o eliminare versioni che non sono più associate a nessuna condivisione di risorse. Ogni autorizzazione gestita dal cliente può avere fino a cinque versioni.

Quando crei o aggiorni una condivisione di risorse, puoi allegare solo la versione predefinita dell'autorizzazione gestita specificata. Per ulteriori informazioni, consulta Aggiornamento delle autorizzazioniAWS gestite a una versione più recentissima.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Nozioni di base

Condivisione delle tue risorse