影片概觀的優勢 AWS RAM 資源共用的運作方式存取 AWS RAM 的定價 AWS RAM 合規和國際標準

什麼是 AWS Resource Access Manager？

AWS Resource Access Manager (AWS RAM) 可協助您在組織或組織單位 (OUs) 之間 AWS 帳戶，以及支援資源類型的 AWS Identity and Access Management (IAM) 角色和使用者之間安全地共用資源。如果您有多個 AWS 帳戶，您可以建立資源一次，並使用 AWS RAM 讓其他帳戶使用該資源。如果您的帳戶由管理 AWS Organizations，您可以與組織中的所有其他帳戶共用資源，或僅與一或多個指定組織單位 (OUs包含的帳戶共用資源。您也可以 AWS 帳戶依帳戶 ID 與特定共用，無論帳戶是否為組織的一部分。某些支援的資源類型也可讓您與指定的 IAM 角色和使用者共用它們。

影片概觀

下列影片提供的簡介 AWS RAM ，並說明如何建立資源共享。如需詳細資訊，請參閱在中建立資源共享 AWS RAM。

下列影片示範如何將 AWS 受管許可套用至您的 AWS 資源。如需詳細資訊，請參閱在中管理許可 AWS RAM。

此影片示範如何根據最低權限的最佳實務，撰寫和建立客戶受管許可的關聯。如需詳細資訊，請參閱在中建立和使用客戶受管許可 AWS RAM。

的優勢 AWS RAM

為什麼要使用 AWS RAM？它提供下列優點：

降低您的營運開銷 – 建立資源一次，然後使用 AWS RAM 與其他帳戶共用該資源。您就不需在每個帳戶中佈建重複的資源，進而降低營運開銷。在擁有資源的帳戶中，可 AWS RAM 簡化授予該帳戶中每個角色和使用者的存取權，而不必使用身分型許可政策。
提供安全性和一致性 – 使用一組政策和許可，簡化共用資源的安全管理。如果您改為在所有不同的帳戶中建立重複的資源，您將有實作相同政策和許可的任務，然後必須在所有這些帳戶中保持相同。相反地， AWS RAM 資源共享的所有使用者都由一組政策和許可管理。 AWS RAM 提供一致的體驗，以共享不同類型的 AWS 資源。
提供可見性和可稽核性 – 透過 AWS RAM 與 Amazon CloudWatch 和的整合來檢視共用資源的使用詳細資訊 AWS CloudTrail。 AWS RAM 提供共用資源和帳戶的全面可見性。

您可以透過在外部 AWS 帳戶連接識別 AWS Identity and Access Management (IAM) 委託人 AWS (IAM 角色和使用者）的資源型政策，與其他共用某些類型的資源 AWS 帳戶。不過，透過連接政策來共用資源並不會利用 AWS RAM 提供的額外好處。透過使用 AWS RAM ，您可獲得下列功能：

您可以與組織或組織單位 (OU) 共用，而不必列舉每個 AWS 帳戶 IDs。
使用者可以在原始 AWS 服務主控台和 API 操作中直接看到與其共用的資源，就像這些資源直接在使用者帳戶中一樣。例如，如果您使用與其他帳戶 AWS RAM 共用 Amazon VPC 子網路，則該帳戶中的使用者可以在 Amazon VPC 主控台中查看子網路，並在該帳戶中執行的 Amazon VPC API 操作結果中查看子網路。透過連接以資源為基礎的政策所共享的資源不會以這種方式顯示；反之，您必須依其 Amazon Resource Name (ARN) 探索並明確參考資源。
資源的擁有者可以查看哪些主體可以存取他們共用的每個個別資源。
如果您與不屬於您組織的帳戶共用資源，則會 AWS RAM 啟動邀請程序。收件人必須先接受邀請，該主體才能存取共用資源。在您開啟在組織內共用的功能之後，與組織中的帳戶共用不需要邀請。

如果您有使用以資源為基礎的許可政策來共用的資源，您可以執行下列任一動作，將這些資源提升為完全 AWS RAM 受管的資源：

使用 PromoteResourceShareCreatedFromPolicy API 操作。
使用 API 操作的同等項目，即 AWS Command Line Interface (AWS CLI) promote-resource-share-created-from-policy命令。

資源共用的運作方式

當您在擁有帳戶中與另一個耗 AWS 帳戶用帳戶共用資源時，您會將耗用帳戶中的主體存取權授予共用資源。套用至耗用帳戶中角色和使用者的任何政策和許可，也適用於共用資源。共用中的資源看起來像是 AWS 帳戶您共用資源的中的原生資源。

您可以共用全域和區域資源。如需詳細資訊，請參閱與全域資源相比，共用區域資源。

您可以使用 AWS RAM建立資源共享，以共享您擁有的資源。若要建立資源共享，請指定下列項目：

您要在 AWS 區域其中建立資源共用的。在主控台中，您可以從主控台右上角的區域下拉式功能表中進行選擇。在中 AWS CLI，您可以使用 --region 參數。
- 資源共用只能包含與資源共用相同 AWS 區域之區域資源。
- 只有在資源共用位於指定之全球資源主區域，美國東部（維吉尼亞北部）時，資源共用才能包含全域資源us-east-1。
資源共用的名稱。
您想要在此資源共享中授予存取權的資源清單。
您授予資源共享存取權的主體。委託人可以是個人 AWS 帳戶、組織中的帳戶或中的組織單位 (OU) AWS Organizations，或個人 AWS Identity and Access Management (IAM) 角色或使用者。

注意
並非所有資源類型都可與 IAM 角色和使用者共用。如需您可以與這些委託人共用之資源的相關資訊，請參閱可共用 AWS 的資源。
與您在資源共享中包含的每個資源類型建立關聯的受管許可。受管許可決定其他帳戶中的主體可以對資源共享中的資源執行哪些操作。

許可的行為取決於委託人類型：
- 如果主體位於與擁有資源的主體不同的帳戶中，則附加到資源共享的許可是授予這些帳戶中角色和使用者的最大許可。然後，這些帳戶的管理員必須透過 IAM 身分型政策授予個別角色和使用者對共用資源的存取權。這些政策中授予的許可不能超過附加至資源共享之許可中定義的許可。

擁有帳戶的資源會保留其共用資源的完整所有權。

使用共用資源

當資源的擁有者與您的帳戶共用資源時，您可以存取共用資源，就像您的帳戶擁有該資源一樣。您可以使用相關服務的主控台、 AWS CLI 命令和 API 操作來存取資源。您帳戶中的主體可執行的 API 操作會因資源類型而異，並且由 AWS RAM 附加至資源共享的許可指定。您帳戶中設定的所有 IAM 政策和服務控制政策也會繼續套用，這可讓您在安全和控管控制中利用現有的投資。

當您使用該資源的服務存取共用資源時，您具有與擁有該資源 AWS 帳戶的相同的功能和限制。

如果資源是區域性資源，則您只能從其存在於擁有帳戶中的 AWS 區域存取該資源。
如果資源是全域的，則您可以從資源的服務主控台和工具支援的任何 AWS 區域存取它。您只能在指定的主區域美國東部（維吉尼亞北部）中檢視和管理 AWS RAM 主控台和工具中的資源共享及其全域資源。 us-east-1

存取 AWS RAM

您可以透過下列 AWS RAM 任何方式使用：

AWS RAM 主控台

AWS RAM 提供以 Web 為基礎的使用者介面 AWS RAM 主控台。如果您已註冊 AWS 帳戶，您可以登入 AWS Management Console 並從 AWS RAM 主控台首頁選擇 AWS RAM 來存取主控台。

您也可以在瀏覽器中直接導覽至AWS RAM 主控台。如果您尚未登入，則在主控台出現之前，系統會要求您這麼做。

AWS CLI 和 Tools for Windows PowerShell

AWS CLI 和 AWS Tools for PowerShell 可直接存取 AWS RAM 公有 API 操作。 AWS 支援 Windows、 macOS和上的這些工具Linux。如需入門的詳細資訊，請參閱 AWS Command Line Interface 使用者指南或 AWS Tools for Windows PowerShell 使用者指南。如需命令的詳細資訊 AWS RAM，請參閱AWS CLI 命令參考或 AWS Tools for Windows PowerShell Cmdlet 參考。

AWS SDKs

AWS 為廣泛的程式設計語言提供 API 命令。如需入門的詳細資訊，請參閱AWS SDKs和工具參考指南。

查詢 API

如果您不使用其中一種支援的程式設計語言，則 AWS RAM HTTPS 查詢 API 可讓您以程式設計方式存取 AWS RAM 和 AWS。使用 AWS RAM API，您可以直接向服務發出 HTTPS 請求。使用 AWS RAM API 時，您必須包含程式碼，才能使用您的憑證以數位方式簽署請求。如需詳細資訊，請參閱 AWS RAM API 參考。

的定價 AWS RAM

使用 AWS RAM 或建立資源共用和跨帳戶共用資源，無需額外費用。資源用量會隨資源類型而異。如需如何 AWS 計費可共用資源的詳細資訊，請參閱資源擁有服務的文件。

合規和國際標準

PCI DSS

AWS RAM 支援由商家或服務供應商處理、儲存和傳輸信用卡資料，並已驗證為符合支付卡產業 (PCI) 資料安全標準 (DSS)。

如需 PCI DSS 的詳細資訊，包括如何索取 AWS PCI 合規套裝服務的副本，請參閱 PCI DSS 第 1 級。

FedRAMP

AWS RAM 在下列內容中授權為 FedRAMP Moderate AWS 區域：美國東部（維吉尼亞北部）、美國東部（俄亥俄）、美國西部（加利佛尼亞北部）和美國西部（奧勒岡）。

AWS RAM 在下列中授權為 FedRAMP High AWS 區域： AWS GovCloud （美國西部）和 AWS GovCloud （美國東部）。

聯邦風險與授權管理計劃 (FedRAMP) 是一項美國政府整體計劃，提供標準化的方法，為雲端產品和服務進行安全評估、授權和持續監控。

如需 FedRAMP 合規的詳細資訊，請參閱 FedRAMP。

SOC 和 ISO

AWS RAM 可用於受 Service Organization Control (SOC) 合規和國際標準化組織 (ISO) ISO 9001、ISO 27001、ISO 27017、ISO 27018 和 ISO 27701 標準的工作負載。財務、醫療保健和其他受監管產業的客戶可以深入了解保護客戶資料的安全程序和控制，這些資料可在的 SOC 報告和 AWS ISO 和 CSA STAR 憑證中找到AWS Artifact。

如需 SOC 合規的詳細資訊，請參閱 SOC。

如需 ISO 合規的詳細資訊，請參閱 ISO 9001、ISO 27001、ISO 27017、ISO 27018 和 ISO 27701。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

開始使用