什麼是 AWS Resource Access Manager? - AWS Resource Access Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

什麼是 AWS Resource Access Manager?

AWS Resource Access Manager(AWS RAM) 可協助您在組織或組織單位 (OU) 之間AWS 帳戶安全地共用資源,以及支援的資源類型與AWS Identity and Access Management (IAM) 角色和使用者共用資源。如果您有多個資源AWS 帳戶,則可以建立一次資源,然後AWS RAM使用該資源供其他帳號使用。如果您的帳戶由管理AWS Organizations,您可以與組織中的所有其他帳號共用資源,或僅與一或多個指定組織單位 (OU) 所包含的帳號共用資源。您也可以AWS 帳戶透過帳戶 ID 與特定帳戶共用,無論帳戶是否屬於組織。某些支援的資源類型也可讓您與指定的 IAM 角色和使用者共用這些資源類型。

影片概述

下列影片提供如何建立資源共用的簡短介影片。AWS RAM如需詳細資訊,請參閱在 中建立資源共享 AWS RAM

以下影片示範如何將AWS受管理的權限套用至資AWS源。如需詳細資訊,請參閱管理權限AWS RAM

此影片示範如何依照最低權限的最佳實務來建立客戶受管權限,並建立客戶受管權限。如需詳細資訊,請參閱 在中建立和使用客戶受管理的權限AWS RAM

AWS RAM 的優點

為什麼要使用 AWS RAM? 它具有以下優點:

  • 減少作業額外負荷 — 建立一次資源,然後用AWS RAM來與其他帳號共用該資源。您就不需在每個帳戶中佈建重複的資源,進而降低營運開銷。在擁有資源的帳號內,可AWS RAM簡化授與該帳號中每個角色和使用者的存取權,而不必使用以識別為基礎的權限原則。

  • 提供安全性和一致性 — 使用單一原則和權限集,簡化共用資源的安全性管理。如果您要改為在所有個別帳戶中建立重複的資源,則必須執行相同的政策和權限,然後必須在所有這些帳戶之間保持相同的資源。而是由一組策略和權限管理AWS RAM資源共用的所有使用者。 AWS RAM為共享不同類型的AWS資源提供了一致的體驗。

  • 提供可見性和可稽核性 — 透過AWS RAM與 Amazon 和的整合,檢視共用資源的使用詳細 CloudWatch 資訊AWS CloudTrail。 AWS RAM提供共用資源和帳戶的全面能見度。

如何使用以資源為基礎的政策進行跨帳戶存取?

您可以將AWS資源型政策附加在您的外部識別AWS Identity and Access Management (IAM) 主體 (IAM 角色和使用者),以便與其AWS 帳戶他人共用某些類型的資源AWS 帳戶。不過,透過附加政策來共用資源並不會利用AWS RAM提供的額外好處。通過使用,AWS RAM您可以獲得以下功能:

  • 您可以與組織或組織單位 (OU) 共用,而不必列舉每個AWS 帳戶 ID。

  • 使用者可以直接在原始AWS 服務控制台和 API 操作中查看與他們共用的資源,就好像這些資源直接在使用者的帳戶中一樣。例如,如果您使用與其他帳戶共用 Amazon VPC 子網路,該帳戶中的使用者可以在 Amazon VPC 主控台中看AWS RAM到子網路,以及在該帳戶中執行的 Amazon VPC API 操作結果。透過這種方式連接以資源為基礎的政策共用的資源不可見;相反,您必須透過其 Amazon 資源名稱 (ARN) 探索並明確參考資源。

  • 資源的擁有者可以看到哪些主參與者可以存取他們已共用的每個個別資源。

  • 如果您與不屬於組織的帳戶共用資源,請AWS RAM啟動邀請程序。收件者必須接受邀請,該委託人才可存取所共用的資源。開啟在組織內共用的功能後,與組織中的帳戶共用不需要邀請。

如果您有透過使用以資源為基礎的權限原則共用的資源,則可以執行下列任一動作,將這些資源升級為完全AWS RAM受控的資源:

資源共用的運作方式

當您與另一個AWS 帳戶使用帳號共用擁有帳號中的資源,您正在授與共用資源的使用帳號中主參與者的存取權。套用至使用帳號中角色和使用者的任何策略和權限也會套用至共用資源。共用中的資源看起來像是AWS 帳戶您共用資源的原生資源。

您可以共用全球和區域資源。如需詳細資訊,請參閱與全球資源相比,共享區域資源

分享您的資源

您可以透過 AWS RAM 建立資源共享,以分享您擁有的資源。若要建立資源共用,您可以指定下列項目:

  • 您想要建立資源共享。AWS 區域在主控台中,您可以從主控台的右上角的區域下拉式選單進行選擇。在中AWS CLI,您可以使用--region參數。

    • 資源共用只能包含與資源共用相AWS 區域同的區域資源。

    • 只有當資源共用位於全球資源的指定本地區域 (美國東部 (維吉尼亞北部) 時,資源共用才能包含全域資源us-east-1

  • 資源共享的名稱。

  • 您要授與存取權作為此資源共用一部分的資源清單。

  • 您可授與資源共用存取權的委託人。主參與者可以是個人AWS 帳戶、組織中的帳戶或組織單位 (OU)AWS Organizations,也可以是個別AWS Identity and Access Management (IAM) 角色或使用者。

    注意

    並非所有資源類型都可與 IAM 角色和使用者共用。如需可與這些主參與者共用之資源的相關資訊,請參閱可共用 AWS 的資源

  • 與您包含在資源共用中的每個資源類型相關聯的受管理權限。受管理的權限決定了其他帳號中的主參與者可以對資源共用中的資源執行的動作。

    權限的行為取決於主體的類型:

    • 如果主參與者與擁有資源的帳號不同,則附加至資源共用的權限就是可授與這些帳號中角色和使用者的最大權限。然後,這些帳戶的管理員必須透過 IAM 身分識別政策授與個別角色和使用者存取共用資源。在這些策略中授予的權限不能超過附加到資源共用的權限中定義的權限。

資源擁有帳號會保留其共用資源的完整擁有權。

使用共用資源

當資源的擁有者與您的帳戶共用資源時,您可以存取共用資源的方式,就像您的帳戶擁有共用資源一樣。您可以使用相關服務的主控台、AWS CLI命令和 API 操作來存取資源。您帳戶中的主體可以執行的 API 作業視資源類型而有所不同,並且由附加至資源共用的AWS RAM權限指定。您帳戶中設定的所有 IAM 政策和服務控制政策也會繼續套用,讓您能夠利用現有在安全和治理控制方面的投資。

當您使用該資源的服務訪問共享資源時,您具有與擁有AWS 帳戶該資源的能力和限制相同。

  • 如果資源是「地區」,則您只能從擁有帳戶AWS 區域中存在的資源來存取該資源。

  • 如果資源是全域的,則您可以從資源的服務主控台和工具支援的任何AWS 區域資源存取資源。您只能在指定的本地區域美國東部 (維吉尼亞北部) 的AWS RAM主控台和工具中檢視和管理資源共用及其全域資源us-east-1

存取 AWS RAM

您可以透過以下任何方式來使用 AWS RAM:

AWS RAM 主控台

AWS RAM 提供 Web 型使用者界面,亦即 AWS RAM 主控台。若您已註冊AWS 帳戶,您可登入AWS Management Console並從主AWS RAM控台首頁進行選擇AWS RAM來存取主控台。

您也可以在瀏覽器中直接導航到AWS RAM控制台。如果您尚未登入,系統會要求您在主機出現之前登入。

AWS CLI和視窗的工具 PowerShell

AWS CLI並提AWS Tools for PowerShell供對AWS RAM公共 API 操作的直接訪問。 AWS支援Windows、macOS和上的這些工具Linux。如需有關入門的詳細資訊,請參閱AWS Command Line Interface使用者指南AWS Tools for Windows PowerShell使用者指南。如需命令的詳細資訊AWS RAM,請參閱命AWS CLI令參考或 C AWS Tools for Windows PowerShellmdlet 參考

AWS SDK

AWS為各種程式語言提供 API 命令。如需有關入門的詳細資訊,請參閱 AWSSDK 和工具參考指南

查詢 API

如果您不使用其中一種支援的程式設計語言,則AWS RAM HTTPS 查詢 API 可讓您以程式設計方式存取AWS RAM和AWS. 您可以透過AWS RAM API 直接向該服務發出 HTTPS 請求。當您使用 AWS RAM API 時,必須包含使用您的登入資料來數位簽署請求的程式碼。如需詳細資訊,請參閱 AWS RAM API 參考

AWS RAM 的定價

使用AWS RAM或建立資源共用,以及跨帳號共用資源不會產生額外費用。資源用量會隨資源類型而異。如AWS需有關可共用資源的詳細資訊,請參閱該資源的擁有服務的文件。

符合規於國際標準

PCI DSS

AWS RAM支援處理、儲存、傳輸商家或服務供應商的信用卡資料,並且已驗證符合支付卡產業 (PCI) 資料安全標準 (DSS)。

如需 PCI DSS 的詳細資訊,包括如何索取 AWS PCI 合規套裝服務的副本,請參閱 PCI DSS 第 1 級

FedRAMP

AWS RAM在下列使用 FedRAMP 中度AWS 區域:美國東部 (維吉尼亞北部)、美國西部 (加利佛尼亞北部)、美國西部 (加利佛尼亞北部) 及美國西部 (奧勒岡)。

AWS RAM在以下地區被授權為 FedRAMP 高點AWS 區域:AWS GovCloud (美國西部)和AWS GovCloud (美國東部)。

聯邦風險與授權管理計劃 (FedRAMP) 是一項美國政府整體計劃,提供標準化的方法,為雲端產品和服務進行安全評估、授權和持續監控。

如需 FedRAMP 合規性的詳細資訊,請參閱 FedRAMP

晶片和 ISO

AWS RAM可用於受服務組織控制 (SOC) 合規性和國際標準化組織 (ISO)、ISO 27017、ISO 27018 和 ISO 27701 標準所影響的工作負載。金融、醫療保健和其他監管行業的客戶可以深入了解安全流程和控制措施,以保護 SOC 報告中可以找到的客戶數據,以及在中找到的AWS ISO 和 CSA STAR 證書AWS Artifact

如需 SOC 合規性的詳細資訊,請參閱 SOC

如需 ISO 相容性的詳細資訊,請參閱 ISO 9001ISO 27017ISO 27701