视频概述的好处 AWS RAM 资源共享工作原理正在访问 AWS RAM 的定价 AWS RAM 合规性和国际标准

什么是 AWS Resource Access Manager？

AWS Resource Access Manager (AWS RAM) 可帮助您在组织或组织单位之间 AWS 账户、内部安全地共享资源 (OUs)，以及与 AWS Identity and Access Management (IAM) 角色和用户共享支持的资源类型。如果您有多个资源 AWS 账户，则可以一次性创建一个资源 AWS RAM ，然后使用该资源供其他账户使用。如果您的账户由管理 AWS Organizations，则可以与组织中的所有其他账户共享资源，也可以仅与一个或多个指定组织单位所包含的账户共享资源（OUs）。无论该账户是否属于某个组织，您都可以 AWS 账户按账户 ID 与其共享。一些支持的资源类型还允许您与指定的 IAM 角色和用户进行共享。

视频概述

以下视频简要介绍 AWS RAM 并描述了如何创建资源共享。有关更多信息，请参阅在中创建资源共享 AWS RAM。

以下视频演示了如何对 AWS 资源应用 AWS 托管权限。有关更多信息，请参阅在中管理权限 AWS RAM。

此视频演示如何遵循最低权限的最佳实践，创建和关联客户托管权限。有关更多信息，请参阅在中创建和使用客户托管权限 AWS RAM。

的好处 AWS RAM

为什么要使用 AWS RAM？它具备下列优点：

减少运营开销 — 只需创建一次资源， AWS RAM 即可用于与其他账户共享该资源。这样您就不需要在每个账户中预置重复的资源，这可以减少运营开销。在拥有资源的账户中，无需使用基于身份的权限策略，即可 AWS RAM 简化向该账户中的每个角色和用户授予访问权限。
提供安全性和一致性 - 使用一组策略和权限，简化共享资源的安全管理。如果您要在所有单独的账户中创建重复的资源，则您的任务是实施相同的策略和权限，然后必须使所有这些账户中的策略和权限保持相同。相反， AWS RAM 资源共享的所有用户都由一组策略和权限进行管理。 AWS RAM 为共享不同类型的 AWS 资源提供一致的体验。
提供可见性和可审计性 — 通过与 Amazon 的集成，查看共享资源的使用详情 AWS RAM ， CloudWatch 以及 AWS CloudTrail。 AWS RAM 提供对共享资源和帐户的全面可见性。

您可以 AWS 账户通过附加基于 AWS 资源的策略来识别您之外的 AWS Identity and Access Management (IAM) 委托人（IAM 角色和用户），从而与其他人共享某些类型的资源。 AWS 账户但是，通过附加政策共享资源并不能利用其 AWS RAM 提供的额外好处。通过使用 AWS RAM 可以获得以下功能：

您可以与组织或组织单位 (OU) 共享，而不必列举每个组织或组织单位 (OU)。 AWS 账户 IDs
用户可以直接在原始 AWS 服务控制台和 API 操作中看到与他们共享的资源，就好像这些资源直接存在于用户的账户中一样。例如，如果您使用 AWS RAM 与其他账户共享 Amazon VPC 子网，则该账户中的用户可以在亚马逊 VPC 控制台以及在该账户中执行的 Amazon VPC API 操作的结果中看到该子网。通过附加基于资源的策略共享的资源不可见；相反，您必须通过其 Amazon 资源名称（ARN）来发现并明确引用该资源。
资源的所有者可以看到哪些主体有权访问他们共享的每项资源。
如果您与不属于您的组织的账户共享资源，则 AWS RAM 会启动邀请流程。收件人必须接受邀请，然后主体才能访问共享的资源。开启组织内共享功能后，与组织中的账户共享不需要邀请。

如果您使用基于资源的权限策略共享了资源，则可以通过执行以下任一操作将这些资源提升为完全 AWS RAM 托管的资源：

使用 PromoteResourceShareCreatedFromPolicyAPI 操作。
使用 API 操作的等效项，即 AWS Command Line Interface (AWS CLI) promote-resource-share-created-from-policy 命令。

资源共享工作原理

当您与另一个拥有者账户（消费账户）共享资源时 AWS 账户，即授予使用者账户中的委托人访问共享资源的权限。任何适用于使用账户中的角色和用户的策略和权限也适用于共享资源。共享中的资源看起来像是你与之 AWS 账户共享的原生资源。

您可以共享全球资源和区域资源。有关更多信息，请参阅共享区域资源（相较于全球资源）。

使用 AWS RAM，您可以通过创建资源共享来共享您拥有的资源。要创建资源共享，请指定以下内容：

您要 AWS 区域在其中创建资源共享的。在控制台右上角，从区域下拉菜单中进行选择。在中 AWS CLI，使用--region参数。
- 资源共享只能包含与资源共享位于相同 AWS 区域的区域资源。
- 只有当资源共享位于全球资源的指定主区域美国东部（弗吉尼亚州北部）us-east-1 时，资源共享才能包含全球资源。
资源共享的名称。
您希望作为此资源共享的一部分授予访问权限的资源列表。
授予对资源共享访问权限的主体。委托人可以是个人 AWS 账户、组织或组织单位 (OU) 中的账户 AWS Organizations，也可以是个人 AWS Identity and Access Management (IAM) 角色或用户。

注意
并非所有资源类型都可以与 IAM 角色和用户共享。有关您可以与这些主体共享的资源的信息，请参阅可共享的资源 AWS。
与资源共享中包含的每种资源类型相关联的托管权限。托管权限决定了其他账户中的主体可以对资源共享中的资源执行哪些操作。

权限的行为取决于主体的类型：
- 如果主体所在的账户与拥有资源的账户不同，则附加到资源共享的权限是这些账户中的角色和用户可获得的最大权限。然后，这些账户的管理员必须使用基于 IAM 身份的策略向个人角色和用户授予对共享资源的访问权限。在这些策略中授予的权限不能超过附加到资源共享的权限中定义的权限。

资源拥有账户保留其共享资源的全部所有权。

使用共享资源

当资源的所有者将资源与您的账户共享时，您可以访问共享资源，就像该资源为您的账户所拥有一样。您可以使用相关服务的控制台、 AWS CLI 命令和 API 操作来访问资源。允许您账户中的主体执行的 API 操作因资源类型而异，并由附加到资源共享的 AWS RAM 权限指定。此外，所有 IAM 策略以及在您的账户中配置的服务控制策略将继续适用，这使您能够利用在安全性和管理控制方面的现有投资。

当您使用该资源的服务访问共享资源时，您具有与拥有 AWS 账户该资源的人相同的能力和限制。

如果资源是区域性资源，则您只能从其所属账户中存在的 AWS 区域访问它。
如果资源是全球性资源，则可以从该资源的服务控制台和工具支持的任何 AWS 区域访问它。您只能在指定的家乡美国东部（弗吉尼亚北部）的 AWS RAM 控制台和工具中查看和管理资源共享及其全球资源us-east-1。

正在访问 AWS RAM

您可以通过以下任何一种方式使用 AWS RAM ：

AWS RAM 控制台

AWS RAM 提供基于 Web 的用户界面，即 AWS RAM 控制台。如果您已经注册了 AWS 账户，则可以通过登录AWS Management Console并 AWS RAM 从 AWS RAM 主机主页上进行选择来访问控制台。

您也可以在浏览器中直接导航到 AWS RAM 控制台。如果您尚未登录，则系统会要求您在控制台出现之前登录。

AWS CLI 和适用于 Windows 的工具 PowerShell

AWS CLI 和 AWS Tools for PowerShell 提供对 AWS RAM 公共 API 操作的直接访问权限。 AWS 支持这些工具 Windows, macOS，以及 Linux。有关入门的更多信息，请参阅《AWS Command Line Interface 用户指南》或《AWS Tools for Windows PowerShell 用户指南》。有关命令的更多信息 AWS RAM，请参阅《命令参考》或《AWS CLI AWS Tools for Windows PowerShell Cmdlet 参考》。

AWS SDKs

AWS 为多种编程语言提供了 API 命令。有关入门的更多信息，请参阅AWS SDKs 和工具参考指南。

查询 API

如果您不使用支持的编程语言之一，那么 AWS RAM HTTPS 查询 API 将为您提供对 AWS RAM 和的编程访问权限 AWS。借助 AWS RAM API，您可以直接向服务发出 HTTPS 请求。使用 AWS RAM API 时，必须包含代码，以便使用您的凭据对请求进行数字签名。有关更多信息，请参阅 AWS RAM API 参考。

的定价 AWS RAM

使用 AWS RAM 或创建资源共享以及跨账户共享资源无需支付额外费用。资源使用费因资源类型而异。有关如何为可共享资源开具 AWS 账单的更多信息，请参阅资源所属服务的文档。

合规性和国际标准

PCI DSS

AWS RAM 支持商家或服务提供商处理、存储和传输信用卡数据，并且已被验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。

有关 PCI DSS 的更多信息，包括如何请求 AWS PCI Compliance Package 的副本，请参阅 PCI DSS 第 1 级。

FedRAMP

AWS RAM 在 AWS 区域以下地区被授权为 FedRAMP 中级：美国东部（弗吉尼亚北部）、美国东部（俄亥俄州）、美国西部（加利福尼亚北部）和美国西部（俄勒冈）。

AWS RAM 在 AWS 区域以下地区被授权为 Fedramp High AWS GovCloud ：（美国西部）和（美国东部） AWS GovCloud 。

联邦风险与授权管理计划（FedRAMP）是一项美国政府层面的计划，它提供一种标准方法来对云产品和云服务进行安全性评估、授权以及持续监控。

有关 FedRAMP 合规性的更多信息，请参阅 FedRAMP。

SOC 和 ISO

AWS RAM 可用于受服务组织控制 (SOC) 合规性以及国际标准化组织 (ISO) ISO 9001、ISO 27001、ISO 27017、ISO 27018 和 ISO 27701 标准约束的工作负载。金融、医疗保健和其他监管行业的客户可以深入了解保护客户数据的安全流程和控制措施，这些信息可通过 AWS Artifact 在 SOC 报告以及 AWS ISO 和 CSA STAR 证书中找到。

有关 SOC 合规性的更多信息，请参阅 SOC。

有关 ISO 合规性的更多信息，请参阅 ISO 9001、ISO 27001、ISO 27017、ISO 27018 和 ISO 27701。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

入门