Che cos'è AWS Resource Access Manager? - AWS Resource Access Manager
Panoramiche videoVantaggi di AWS RAMCome funziona la condivisione delle risorseAccedendo AWS RAMPrezzi per AWS RAMConformità e standard internazionali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Che cos'è AWS Resource Access Manager?

AWS Resource Access Manager (AWS RAM) consente di condividere in modo sicuro le risorse tra Account AWS, all'interno dell'organizzazione o delle unità organizzative (OUs) e con ruoli e utenti AWS Identity and Access Management (IAM) per i tipi di risorse supportati. Se ne hai più Account AWS, puoi creare una risorsa una sola volta e AWS RAM utilizzarla per renderla utilizzabile dagli altri account. Se il tuo account è gestito da AWS Organizations, puoi condividere le risorse con tutti gli altri account dell'organizzazione o solo con gli account contenuti in una o più unità organizzative specificate (OUs). Puoi anche condividere con ID specifici Account AWS per account, indipendentemente dal fatto che l'account faccia parte di un'organizzazione. Alcuni tipi di risorse supportati consentono inoltre di condividerli con ruoli e utenti IAM specifici.

Panoramiche video

Il video seguente fornisce una breve introduzione AWS RAM e descrive come creare una condivisione di risorse. Per ulteriori informazioni, consulta Creazione di una condivisione di risorse in AWS RAM.

Il video seguente mostra come applicare le autorizzazioni AWS gestite alle AWS risorse. Per ulteriori informazioni, consulta Gestione delle autorizzazioni in AWS RAM.

Questo video dimostra come creare e associare le autorizzazioni gestite dai clienti seguendo la best practice del privilegio minimo. Per ulteriori informazioni, consultare Creazione e utilizzo delle autorizzazioni gestite dai clienti in AWS RAM.

Vantaggi di AWS RAM

Perché usare AWS RAM? Offre i seguenti vantaggi:

  • Riduce il sovraccarico operativo: crea una risorsa una sola volta e poi AWS RAM usala per condividerla con altri account. In questo modo viene meno la necessità di effettuare il provisioning di risorse duplicate in ogni account e si riducono i costi operativi. All'interno dell'account proprietario della risorsa, AWS RAM semplifica la concessione dell'accesso a ogni ruolo e utente di quell'account senza dover utilizzare politiche di autorizzazione basate sull'identità.

  • Garantisce sicurezza e coerenza: semplifica la gestione della sicurezza per le risorse condivise utilizzando un unico set di politiche e autorizzazioni. Se invece creassi risorse duplicate in tutti i tuoi account separati, avresti il compito di implementare politiche e autorizzazioni identiche e quindi dovresti mantenerle identiche in tutti gli account. Al contrario, tutti gli utenti di una condivisione di AWS RAM risorse sono gestiti da un unico set di politiche e autorizzazioni. AWS RAM offre un'esperienza coerente per la condivisione di diversi tipi di AWS risorse.

  • Fornisce visibilità e verificabilità: visualizza i dettagli di utilizzo delle risorse condivise attraverso l'integrazione AWS RAM con Amazon CloudWatch e AWS CloudTrail. AWS RAM offre una visibilità completa su risorse e account condivisi.

Che dire dell'accesso tra più account con politiche basate sulle risorse?

Puoi condividere alcuni tipi di AWS risorse con altri Account AWS allegando una policy basata sulle risorse che identifica i principali (IAM) AWS Identity and Access Management (ruoli e utenti IAM) esterni al tuo. Account AWS Tuttavia, la condivisione di una risorsa allegando una policy non sfrutta i vantaggi aggiuntivi che ne derivano. AWS RAM Utilizzando AWS RAM si ottengono le seguenti funzionalità:

  • È possibile condividere con un'organizzazione o un'unità organizzativa (OU) senza dover enumerare tutti i. Account AWS IDs

  • Gli utenti possono vedere le risorse condivise con loro direttamente nella Servizio AWS console di origine e nelle operazioni API come se tali risorse fossero direttamente nell'account dell'utente. Ad esempio, se condividi una sottorete Amazon VPC con un altro account, gli utenti di quell'account possono vedere la sottorete nella console Amazon VPC e i risultati delle operazioni API Amazon VPC eseguite in quell'account. AWS RAM Le risorse condivise allegando una policy basata sulle risorse non sono visibili in questo modo; devi invece scoprire e fare riferimento esplicitamente alla risorsa tramite il suo Amazon Resource Name (ARN).

  • I proprietari di una risorsa possono vedere quali responsabili hanno accesso a ogni singola risorsa che hanno condiviso.

  • Se condividi risorse con un account che non fa parte della tua organizzazione, AWS RAM avvia una procedura di invito. Il destinatario deve accettare l'invito prima che il preside possa accedere alle risorse condivise. Dopo aver attivato la possibilità di condivisione all'interno dell'organizzazione, la condivisione con gli account dell'organizzazione non richiede inviti.

Se disponi di risorse che hai condiviso utilizzando una politica di autorizzazione basata sulle risorse, puoi promuovere tali risorse a risorse completamente AWS RAM gestite effettuando una delle seguenti operazioni:

Come funziona la condivisione delle risorse

Quando condividi una risorsa dell'account proprietario con un altro account Account AWS, l'account consumatore, concedi l'accesso alla risorsa condivisa ai responsabili dell'account di consumo. Tutte le politiche e le autorizzazioni che si applicano ai ruoli e agli utenti dell'account consumatore si applicano anche alla risorsa condivisa. Le risorse della condivisione sembrano risorse native nella cartella con Account AWS cui le hai condivise.

Puoi condividere risorse globali e regionali. Per ulteriori informazioni, consulta Condivisione delle risorse regionali rispetto alle risorse globali.

Condivisione delle risorse

Con AWS RAM, condividi le risorse di tua proprietà creando una condivisione di risorse. Per creare una condivisione di risorse, è necessario specificare quanto segue:

  • Regione AWS In cui si desidera creare la condivisione di risorse. Nella console, scegli dal menu a discesa Regione nell'angolo in alto a destra della console. Nel AWS CLI, si utilizza il parametro. --region

    • Una condivisione di risorse può contenere solo risorse regionali che coincidono con Regione AWS la condivisione di risorse.

    • Una condivisione di risorse può contenere risorse globali solo se la condivisione di risorse si trova nella regione di origine designata per le risorse globali, Stati Uniti orientali (Virginia settentrionale),us-east-1.

  • Un nome per la condivisione di risorse.

  • L'elenco delle risorse a cui desideri concedere l'accesso come parte di questa condivisione di risorse.

  • I principali a cui concedi l'accesso alla condivisione delle risorse. I responsabili possono essere singoli Account AWS, gli account di un'organizzazione o di un'unità organizzativa (OU) oppure ruoli o utenti individuali AWS Identity and Access Management (IAM). AWS Organizations

    Nota

    Non tutti i tipi di risorse possono essere condivisi con ruoli e utenti IAM. Per informazioni sulle risorse che puoi condividere con questi responsabili, consulta. Risorse condivisibili AWS

  • Un'autorizzazione gestita da associare a ogni tipo di risorsa inclusa in una condivisione di risorse. L'autorizzazione gestita determina cosa possono fare i responsabili degli altri account con le risorse della condivisione di risorse.

    Il comportamento dell'autorizzazione dipende dal tipo di principale:

    • Se il principale si trova in un account diverso da quello che possiede la risorsa, le autorizzazioni associate alla condivisione delle risorse sono le autorizzazioni massime disponibili da concedere ai ruoli e agli utenti di tali account. L'amministratore di tali account deve quindi concedere ai singoli ruoli e utenti l'accesso alla risorsa condivisa con politiche basate sull'identità IAM. Le autorizzazioni concesse in tali policy non possono superare quelle definite nelle autorizzazioni allegate alla condivisione di risorse.

L'account proprietario delle risorse mantiene la piena proprietà delle risorse che condivide.

Utilizzo di risorse condivise

Quando il proprietario di una risorsa la condivide con il tuo account, puoi accedere alla risorsa condivisa proprio come faresti se fosse di proprietà del tuo account. Puoi accedere alla risorsa utilizzando la console, AWS CLI i comandi e le operazioni API del servizio pertinente. Le operazioni API che gli amministratori dell'account possono eseguire variano a seconda del tipo di risorsa e sono specificate dall' AWS RAM autorizzazione allegata alla condivisione delle risorse. Inoltre, tutte le politiche IAM e le politiche di controllo dei servizi configurate nel tuo account continuano ad essere applicate, il che ti consente di utilizzare gli investimenti esistenti nei controlli di sicurezza e governance.

Quando accedi a una risorsa condivisa utilizzando il servizio di quella risorsa, hai le stesse capacità e limitazioni del Account AWS proprietario della risorsa.

  • Se la risorsa è regionale, puoi accedervi solo dalla risorsa Regione AWS in cui è presente nell'account proprietario.

  • Se la risorsa è globale, puoi accedervi da qualsiasi Regione AWS dispositivo supportato dalla console di servizio e dagli strumenti della risorsa. È possibile visualizzare e gestire la condivisione di risorse e le relative risorse globali nella AWS RAM console e negli strumenti solo nella regione di origine designata, Stati Uniti orientali (Virginia settentrionale),us-east-1.

Accedendo AWS RAM

Puoi lavorare con AWS RAM in uno dei seguenti modi:

AWS RAM console

AWS RAM fornisce un'interfaccia utente basata sul Web, la AWS RAM console. Se ti sei registrato a Account AWS, puoi accedere alla AWS RAM console accedendo AWS Management Consolee selezionando AWS RAM dalla home page della console.

Puoi anche accedere direttamente alla AWS RAM console nel tuo browser. Se non hai ancora effettuato l'accesso, ti verrà chiesto di farlo prima che venga visualizzata la console.

AWS CLI e strumenti per Windows PowerShell

La AWS CLI e AWS Strumenti per PowerShell fornisce l'accesso diretto alle operazioni API AWS RAM pubbliche. AWS supporta questi strumenti su Windows, macOSe Linux. Per ulteriori informazioni su come iniziare, consulta la Guida per AWS Command Line Interface l'utente o la Guida AWS Tools for Windows PowerShell per l'utente. Per ulteriori informazioni sui comandi per AWS RAM, vedere AWS CLI Command Reference o AWS Tools for Windows PowerShell Cmdlet Reference.

AWS SDKs

AWS fornisce comandi API per un ampio set di linguaggi di programmazione. Per ulteriori informazioni su come iniziare, consulta la AWS SDKs and Tools Reference Guide.

API della query

Se non utilizzi uno dei linguaggi di programmazione supportati, l'API AWS RAM HTTPS Query ti offre l'accesso programmatico a AWS RAM e AWS. Con l' AWS RAM API, puoi inviare richieste HTTPS direttamente al servizio. Quando utilizzi l' AWS RAM API, devi includere il codice per firmare digitalmente le richieste utilizzando le tue credenziali. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS RAM.

Prezzi per AWS RAM

Non sono previsti costi aggiuntivi per l'utilizzo AWS RAM o la creazione di condivisioni di risorse e la condivisione delle risorse tra account. I costi di utilizzo delle risorse variano a seconda del tipo di risorsa. Per ulteriori informazioni sulla AWS fatturazione delle risorse condivisibili, consulta la documentazione del servizio di proprietà della risorsa.

Conformità e standard internazionali

PCI DSS

AWS RAM supporta l'elaborazione, l'archiviazione e la trasmissione dei dati delle carte di credito da parte di un commerciante o di un fornitore di servizi ed è stato convalidato come conforme al Payment Card Industry (PCI) Data Security Standard (DSS).

Per ulteriori informazioni sullo standard PCI DSS, incluse le istruzioni su come richiedere una copia del Pacchetto conformità PCI di AWS , consulta PCI DSS livello 1.

FedRAMP

AWS RAM è autorizzato come FedRAMP Moderate nei Regioni AWS seguenti paesi: Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (California settentrionale) e Stati Uniti occidentali (Oregon).

AWS RAM è autorizzato come FedRAMP High nei Regioni AWS seguenti paesi AWS GovCloud : (Stati Uniti occidentali) e (Stati Uniti orientali). AWS GovCloud

FedRAMP sta per Federal Risk and Authorization Management Program; si tratta di un programma federale statunitense per la gestione di rischio e autorizzazioni applicato a livello di pubblica amministrazione che fornisce un approccio standard a valutazioni di sicurezza, assegnazione di autorizzazioni e monitoraggio continuo nell'ambito di servizi e prodotti cloud.

Per ulteriori informazioni sulla conformità con FedRAMP, vedere FedRAMP.

SOC e ISO

AWS RAM può essere utilizzato per carichi di lavoro soggetti alla conformità SOC (Service Organization Control) e agli standard ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701. I clienti del settore finanziario, sanitario e di altri settori regolamentati possono ottenere informazioni dettagliate sui processi e sui controlli di sicurezza che proteggono i dati dei clienti, disponibili nei report SOC e nei certificati ISO e CSA STAR in. AWS AWS Artifact

Per ulteriori informazioni sulla conformità SOC, consulta SOC.

Per ulteriori informazioni sulla conformità ISO, vedere ISO 9001, ISO27001, ISO27017, ISO 27018 e ISO 27701.