Cos'è AWS Resource Access Manager? - AWS Resource Access Manager
Panoramica dei videoVantaggi di AWS RAMCome funziona la condivisione di risorseAccesso a AWS RAMPrezzi di AWS RAMConformità e standard internazionali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Cos'è AWS Resource Access Manager?

AWS Resource Access Manager(AWS RAM) consente di condividere in modo sicuro le risorse traAccount AWS, all'interno dell'organizzazione o delle unità organizzative (OU) e con i ruoli e gli utentiAWS Identity and Access Management (IAM) per i tipi di risorse supportati. Se ne hai piùAccount AWS, puoi creare una risorsa una sola volta eAWS RAM usarla per renderla utilizzabile dagli altri account. Se l'account è gestito daAWS Organizations, è possibile condividere le risorse con tutti gli altri account dell'organizzazione o solo con gli account contenuti in una o più unità organizzative (OU) specificate. Puoi anche condividere con un ID account specificoAccount AWS, indipendentemente dal fatto che l'account faccia parte di un'organizzazione. Alcuni tipi di risorse supportati consentono anche di condividerli con ruoli e utenti IAM specificati.

Panoramica dei video

Il video seguente fornisce una breve introduzioneAWS RAM e descrive come creare una condivisione di risorse. Per ulteriori informazioni, consulta Creazione di una condivisione di risorse in AWS RAM.

Il video seguente illustra come applicare le autorizzazioniAWS gestite alleAWS risorse. Per ulteriori informazioni, consulta Gestione delle autorizzazioni inAWS RAM.

In questo video viene illustrato come creare e associare le autorizzazioni gestite dal cliente seguendo le best practice dei privilegi minimi. Per ulteriori informazioni, consultare Creazione e utilizzo delle autorizzazioni gestite dai clienti inAWS RAM.

Vantaggi di AWS RAM

Perché utilizzare AWS RAM? Offre i seguenti vantaggi:

  • Riduce il sovraccarico operativo: crea una risorsa una sola volta e usalaAWS RAM per condividerla con altri account. In questo modo viene meno la necessità di effettuare il provisioning di risorse duplicate in ogni account e si riducono i costi operativi. All'interno dell'account proprietario della risorsa,AWS RAM semplifica la concessione dell'accesso a ogni ruolo e utente di quell'account senza dover utilizzare criteri di autorizzazione basati sull'identità.

  • Fornisce sicurezza e coerenza: semplifica la gestione della sicurezza per le risorse condivise utilizzando un unico set di politiche e autorizzazioni. Se invece dovessi creare risorse duplicate in tutti i tuoi account separati, avresti il compito di implementare politiche e autorizzazioni identiche e quindi mantenerle identiche per tutti quegli account. Al contrario, tutti gli utenti di una condivisione diAWS RAM risorse sono gestiti da un unico set di politiche e autorizzazioni. AWS RAMoffre un'esperienza coerente per la condivisione di diversi tipi diAWS risorse.

  • Fornisce visibilità e verificabilità: visualizza i dettagli di utilizzo delle risorse condivise tramite l'integrazioneAWS RAM con Amazon CloudWatch eAWS CloudTrail. AWS RAMfornisce una visibilità completa delle risorse e degli account condivisi.

Che dire dell'accesso tra account con policy basate su risorse?

Puoi condividere alcuni tipi diAWS risorse con altriAccount AWS allegando una politica basata sulle risorse che identifichi i responsabiliAWS Identity and Access Management (IAM) (ruoli e utenti IAM) esterni al tuoAccount AWS. Tuttavia, la condivisione di una risorsa allegando una politica non sfrutta i vantaggi aggiuntivi cheAWS RAM offre. UtilizzandoAWS RAM si ottengono le seguenti caratteristiche:

  • È possibile condividere con un'organizzazione o un'unità organizzativa (UO) senza dover enumerare tutti gliAccount AWS ID.

  • Gli utenti possono vedere le risorse condivise con loro direttamente nellaServizio AWS console di origine e nelle operazioni API come se tali risorse fossero direttamente nell'account dell'utente. Ad esempio, se utilizzi perAWS RAM condividere una sottorete Amazon VPC con un altro account, gli utenti di quell'account possono vedere la sottorete nella console Amazon VPC e nei risultati delle operazioni API Amazon VPC eseguite in quell'account. Le risorse condivise allegando una politica basata sulle risorse non sono visibili in questo modo; devi invece scoprire e fare riferimento esplicito alla risorsa tramite il relativo Amazon Resource Name (ARN).

  • I proprietari di una risorsa possono vedere quali responsabili hanno accesso a ogni singola risorsa che hanno condiviso.

  • Se condividi risorse con un account che non fa parte della tua organizzazione,AWS RAM avvia una procedura di invito. Il destinatario deve accettare l'invito prima che il responsabile possa accedere alle risorse condivise. Dopo aver attivato la possibilità di condivisione all'interno dell'organizzazione, la condivisione con gli account dell'organizzazione non richiede inviti.

Se disponi di risorse che hai condiviso utilizzando una politica di autorizzazione basata sulle risorse, puoi promuoverle trasformandole in risorse completamenteAWS RAM gestite eseguendo una delle seguenti operazioni:

Come funziona la condivisione di risorse

Quando si condivide una risorsa dell'account proprietario con un altroAccount AWS, l'account di consumo, si concede l'accesso alla risorsa condivisa ai responsabili dell'account utente. Tutte le politiche e le autorizzazioni che si applicano ai ruoli e agli utenti dell'account utente si applicano anche alla risorsa condivisa. Le risorse della condivisione sembrano risorse native della condivisione conAccount AWS cui le hai condivise.

Puoi condividere risorse globali e regionali. Per ulteriori informazioni, consulta Condivisione delle risorse regionali rispetto alle risorse globali.

Condivisione delle risorse

Con AWS RAM, condividi le risorse di cui sei proprietario creando una condivisione delle risorse. Per creare una condivisione di risorse, si specifica quanto segue:

  • Regione AWSIn cui si desidera creare la condivisione di risorse. Nella console, scegli dal menu a discesa Regione nell'angolo in alto a destra della console. NelAWS CLI, si utilizza il--region parametro.

    • Una condivisione di risorse può contenere solo risorse regionali che si trovano nellaRegione AWS stessa condivisione di risorse.

    • Una condivisione di risorse può contenere risorse globali solo se la condivisione di risorse si trova nella regione di origine designata per le risorse globali, Stati Uniti orientali (Virginia settentrionale)us-east-1.

  • Un nome per la condivisione di risorse.

  • L'elenco delle risorse a cui desideri concedere l'accesso come parte di questa condivisione di risorse.

  • I responsabili a cui concedi l'accesso alla condivisione di risorse. I responsabili possono essere singoliAccount AWS, gli account di un'organizzazione o di un'unità organizzativa (OU) o singoli ruoli o utentiAWS Identity and Access Management (IAM).AWS Organizations

    Nota

    Non tutti i tipi di risorse possono essere condivisi con ruoli e utenti IAM. Per informazioni sulle risorse che puoi condividere con questi responsabili, consultaRisorse condivisibili AWS.

  • Un'autorizzazione gestita per l'associazione a ogni tipo di risorsa che includi in una condivisione di risorse. L'autorizzazione gestita determina cosa possono fare i responsabili degli altri account con le risorse della condivisione di risorse.

    Il comportamento dell'autorizzazione dipende dal tipo di responsabile:

    • Se il committente si trova in un account diverso da quello proprietario della risorsa, le autorizzazioni associate alla condivisione di risorse sono le autorizzazioni massime disponibili da concedere ai ruoli e agli utenti di tali account. L'amministratore di tali account deve quindi concedere ai singoli ruoli e utenti l'accesso alla risorsa condivisa con politiche basate sull'identità IAM. Le autorizzazioni concesse in tali politiche non possono superare quelle definite nelle autorizzazioni allegate alla condivisione di risorse.

L'account proprietario delle risorse mantiene la piena proprietà delle risorse che condivide.

Utilizzo di risorse condivise

Quando il proprietario di una risorsa la condivide con il tuo account, puoi accedere alla risorsa condivisa proprio come faresti se fosse il tuo account la possedesse. È possibile accedere alla risorsa utilizzando la console,AWS CLI i comandi e le operazioni API del servizio pertinente. Le operazioni API che i responsabili del tuo account possono eseguire variano a seconda del tipo di risorsa e sono specificate dall'AWS RAMautorizzazione associata alla condivisione di risorse. Continuano inoltre ad applicarsi tutte le politiche IAM e le politiche di controllo dei servizi configurate nel tuo account, il che ti consente di utilizzare gli investimenti esistenti nei controlli di sicurezza e governance.

Quando accedi a una risorsa condivisa utilizzando il servizio di quella risorsa, hai le stesse capacità e limitazioni delAccount AWS proprietario della risorsa.

  • Se la risorsa è regionale, puoi accedervi solo da quellaRegione AWS in cui esiste nell'account proprietario.

  • Se la risorsa è globale, è possibile accedervi da qualsiasi dispositivoRegione AWS supportato dalla console di servizio e dagli strumenti della risorsa. È possibile visualizzare e gestire la condivisione di risorse e le relative risorse globali nellaAWS RAM console e negli strumenti solo nella regione di origine designata, Stati Uniti orientali (Virginia settentrionale)us-east-1.

Accesso a AWS RAM

Puoi lavorare con AWS RAM nei modi descritti di seguito:

Console AWS RAM

AWS RAM fornisce la console AWS RAM, un'interfaccia utente basata sul Web. Se ti sei registrato e hai ottenuto unAccount AWS, puoi accedere allaAWS RAM console accedendo alla AWS Management Consolee scegliendoAWS RAM dalla pagina iniziale della console.

Puoi anche accedere direttamente alla AWS RAMconsole nel tuo browser. Se non ti sei già registrato, ti verrà chiesto di farlo prima che venga visualizzata la console.

AWS CLIe strumenti per Windows PowerShell

AWS CLIAWS Tools for PowerShellForniscono l'accesso diretto alle operazioni dell'APIAWS RAM pubblica. AWSsupporta questi strumenti suWindowsmacOS, eLinux. Per ulteriori informazioni sulle nozioni di base, consulta la Guida perAWS Command Line Interface l'utente o la Guida per l'AWS Tools for Windows PowerShellutente di. Per ulteriori informazioni sui comandi perAWS RAM, consulta Riferimento per iAWS CLI comandi o i riferimenti per i AWS Tools for Windows PowerShellcmdlet.

SDK AWS

AWSoffre comandi API per un'ampia gamma di linguaggi di programmazione. Per ulteriori informazioni sulle nozioni di base, consulta la Guida di riferimento per gliAWS SDK e gli strumenti.

API della query

Se non si utilizza uno dei linguaggi di programmazione supportati, l'API di interrogazioneAWS RAM HTTPS consente l'accesso programmatico aAWS RAM eAWS. Con l'AWS RAMAPI, puoi eseguire richieste HTTPS direttamente al servizio. Quando utilizzi le API AWS RAM, devi includere il codice per firmare in modo digitale le richieste utilizzando le tue credenziali. Per ulteriori informazioni, consulta la Documentazione di riferimento delle API di AWS RAM.

Prezzi di AWS RAM

Non sono previsti costi aggiuntivi per l'utilizzoAWS RAM o la creazione di condivisioni di risorse e la condivisione delle risorse tra account. I costi di utilizzo delle risorse variano a seconda del tipo di risorsa. Per ulteriori informazioni su comeAWS fatturare le risorse condivisibili, consulta la documentazione relativa al servizio di proprietà della risorsa.

Conformità e standard internazionali

PCI DSS

AWS RAMsupporta l'elaborazione, lo storage e la trasmissione di dati di carte di credito da parte di un esercente o di un provider di servizi, oltre a essere conforme allo standard Payment Card Industry Data Security Standard (PCI DSS).

Per ulteriori informazioni sullo standard PCI DSS, incluse le istruzioni su come richiedere una copia del Pacchetto conformità PCI di AWS, consulta PCI DSS livello 1.

FedRAMP

AWS RAMè autorizzata come FedRAMP Moderate neiRegioni AWS seguenti Stati Uniti orientali (Virginia), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (Oregon).

AWS RAMè autorizzato come FedRAMP High nei seguenti paesiRegioni AWS:AWS GovCloud (Stati Uniti occidentali) eAWS GovCloud (Stati Uniti orientali).

FedRAMP sta per Federal Risk and Authorization Management Program; si tratta di un programma federale statunitense per la gestione di rischio e autorizzazioni applicato a livello di pubblica amministrazione che fornisce un approccio standard a valutazioni di sicurezza, assegnazione di autorizzazioni e monitoraggio continuo nell'ambito di servizi e prodotti cloud.

Per ulteriori informazioni sulla conformità a FedRAMP, vedere FedRAMP.

SOC e ISO

AWS RAMpuò essere utilizzato per carichi di lavoro soggetti alla conformità al Service Organization Control (SOC) e agli standard ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701. I clienti del settore finanziario, sanitario e di altri settori regolamentati possono ottenere informazioni sui processi e sui controlli di sicurezza che proteggono i dati dei clienti, disponibili nei report SOC e nei certificatiAWS ISO e CSA STAR in AWS Artifact.

Per ulteriori informazioni sulla conformità SOC, consulta SOC.

Per ulteriori informazioni sulla conformità ISO, vedere ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701.