O que é o AWS Resource Access Manager? - AWS Resource Access Manager
Visões gerais do vídeoBenefícios do AWS RAMComo funciona o compartilhamento de recursosComo acessar o AWS RAMPrecificação para AWS RAMConformidade e padrões internacionais

O que é o AWS Resource Access Manager?

O AWS Resource Access Manager (AWS RAM) ajuda você a compartilhar com segurança seus recursos nas Contas da AWS, dentro de sua organização ou unidades organizacionais (OUs) e com usuários e perfis do AWS Identity and Access Management (IAM) para tipos de recursos compatíveis. Se você tiver várias Contas da AWS, poderá criar um recurso uma vez e usar o AWS RAM para torná-lo utilizável por essas outras contas.​ Se sua conta for gerenciada pelo AWS Organizations, você poderá compartilhar recursos com todas as outras contas da organização ou somente com as contas contidas em uma ou mais unidades organizacionais (OUs) especificadas. Você também pode compartilhar com Contas da AWS por um ID de conta específico, independentemente de a conta fazer parte de uma organização. Alguns tipos de recursos compatíveis também permitem compartilhá-los com usuários e perfis especificados do IAM.

Visões gerais do vídeo

O vídeo a seguir fornece uma breve introdução ao AWS RAM e descreve como criar um compartilhamento de recurso. Para obter mais informações, consulte Criar um compartilhamento de recursos no AWS RAM.

O vídeo a seguir demonstra como aplicar permissões gerenciadas do AWS aos seus recursos da AWS. Para obter mais informações, consulte Gerenciando permissões no AWS RAM.

Este vídeo demonstra como criar e associar permissões gerenciadas pelo cliente seguindo as práticas recomendadas de privilégio mínimo. Para obter mais informações, consulte, Criação e uso de permissões gerenciadas pelo cliente no AWS RAM.

Benefícios do AWS RAM

Por que usar o AWS RAM? Oferece os seguintes benefícios:

  • Reduz sua sobrecarga operacional: crie um recurso uma vez e use o AWS RAM para compartilhar esse recurso com outras contas. Isso elimina a necessidade de provisionar recursos duplicados em todas as contas, o que reduz a sobrecarga operacional. Dentro da conta proprietária do recurso, o AWS RAM simplifica a concessão de acesso a todos os usuários e perfis dessa conta sem precisar usar políticas de permissão baseadas em identidade.

  • Fornece segurança e consistência: simplifique o gerenciamento da segurança de seus recursos compartilhados usando um único conjunto de políticas e permissões. Se, em vez disso, você criasse recursos duplicados em todas as suas contas separadas, teria a tarefa de implementar políticas e permissões idênticas e, em seguida, mantê-las idênticas em todas essas contas. Em vez disso, todos os usuários de um compartilhamento de recursos do AWS RAM são gerenciados por um único conjunto de políticas e permissões. O AWS RAM oferece uma experiência consistente para compartilhar diferentes tipos de recursos da AWS.

  • Fornece visibilidade e auditabilidade - Visualize detalhes de uso para recursos compartilhados por meio da integração do AWS RAM com o Amazon CloudWatch e o AWS CloudTrail. O AWS RAM fornece visibilidade abrangente de contas e recursos compartilhados.

E quanto ao acesso entre contas com políticas baseadas em recursos?

Você pode compartilhar alguns tipos de recursos da AWS com outras Contas da AWS anexando uma política baseada em recursos que identifica as entidades principais do AWS Identity and Access Management (IAM) (usuários e perfis do IAM) fora da sua Conta da AWS. No entanto, compartilhar um recurso anexando uma política não tira proveito dos benefícios adicionais que o AWS RAM oferece. Ao usar o AWS RAM, você obtém os seguintes recursos:

  • Você pode compartilhar com uma organização ou uma unidade organizacional (OU) sem precisar enumerar cada um dos IDs da Conta da AWS.

  • Os usuários podem ver os recursos compartilhados com eles diretamente no console do AWS service (Serviço da AWS) de origem e nas operações da API, como se esses recursos estivessem diretamente na conta do usuário. Por exemplo, se você usa o AWS RAM para compartilhar uma sub-rede da Amazon VPC com outra conta, os usuários dessa conta podem ver a sub-rede no console da Amazon VPC e nos resultados das operações da API da Amazon VPC realizadas nessa conta. Os recursos compartilhados ao anexar uma política baseada em recursos não são visíveis dessa forma; em vez disso, você precisa descobrir e se referir explicitamente ao recurso pelo nome do recurso da Amazon (ARN).

  • Os proprietários de um recurso podem ver quais entidades principais têm acesso a cada recurso individual que eles compartilharam.

  • Se você compartilha recursos com uma conta que não faz parte da sua organização, o AWS RAM inicia um processo de convite. O destinatário deve aceitar o convite antes que a entidade principal possa acessar os recursos compartilhados. Depois de ativar a capacidade de compartilhar dentro da sua organização, o compartilhamento com contas na organização não exige convites.

Se você tiver recursos compartilhados usando uma política de permissão baseada em recursos, poderá promovê-los a recursos totalmente gerenciados do AWS RAM fazendo o seguinte:

Como funciona o compartilhamento de recursos

Quando você compartilha um recurso na conta proprietária com outra Conta da AWS, a conta consumidora, você está concedendo acesso às entidades principais da conta consumidora ao recurso compartilhado. Quaisquer políticas e permissões aplicáveis a usuários e perfis na conta de consumo também se aplicam ao recurso compartilhado. Os recursos no compartilhamento parecem recursos nativos nas Contas da AWS que você compartilhou.

Você pode compartilhar recursos globais e regionais. Para obter mais informações, consulte Compartilhamento de recursos regionais em comparação com recursos globais.

Compartilhar seus recursos

Com o AWS RAM, você pode compartilhar recursos seus criando um compartilhamento de recursos. Para criar um compartilhamento de recurso, especifique o seguinte:

  • A Região da AWS na qual você deseja criar o compartilhamento de recurso. No console, escolha a Região na lista suspensa no canto superior direito do console. Na AWS CLI, você usa o parâmetro --region.

    • Um compartilhamento de recurso pode conter somente recursos regionais que estão na mesma Região da AWS que o compartilhamento de recurso.

    • Um compartilhamento de recursos pode conter recursos globais somente se o compartilhamento de recursos estiver na região de origem designada para recursos globais, Leste dos EUA (Norte da Virgínia), us-east-1.

  • Um nome para o compartilhamento de recursos.

  • A lista de recursos aos quais você deseja conceder acesso como parte desse compartilhamento de recursos.

  • As entidades principais às quais você concede acesso ao compartilhamento de recurso. As entidades principais podem ser Contas da AWS individuais, as contas em uma organização ou unidade organizacional (OU) no AWS Organizations ou perfis ou usuários individuais do AWS Identity and Access Management (IAM).

    nota

    Nem todos os tipos de recursos podem ser compartilhados com perfis e usuários do IAM. Para obter informações sobre os recursos que você pode compartilhar com essas entidades principais, consulte Recursos da AWS que podem ser compartilhados.

  • Uma permissão gerenciada para associar a cada tipo de recurso incluído em um compartilhamento de recursos. A permissão gerenciada determina o que as entidades principais das outras contas podem fazer com os recursos no compartilhamento de recursos.

    O comportamento da permissão depende do tipo de entidade principal:

    • Se a entidade principal estiver em uma conta diferente daquela que possui o recurso, as permissões anexadas ao compartilhamento de recursos são as permissões máximas disponíveis para serem concedidas a usuários e perfis nessas contas. O administrador dessas contas deve então conceder aos papéis individuais e aos usuários acesso ao recurso compartilhado com políticas baseadas em identidade do IAM. As permissões concedidas nessas políticas não podem exceder as definidas nas permissões anexadas ao compartilhamento de recursos.

A conta proprietária do recurso mantém a propriedade total dos recursos que ela compartilha.

Uso dos recursos compartilhados

Quando o proprietário de um recurso o compartilha com sua conta, você pode acessar o recurso compartilhado como faria se ele pertencesse à sua conta. Você pode acessar o recurso usando o console, os comandos da AWS CLI e as operações de API do serviço relevante. As operações de API que as entidades principais da sua conta podem realizar variam de acordo com o tipo de recurso e são especificadas pelo AWS RAM permissão anexada ao compartilhamento de recursos. Todas as políticas do IAM e as políticas de controle de serviço configuradas em sua conta se aplicam, o que permite utilizar os investimentos existentes em controles de governança e segurança.

Quando você acessa um recurso compartilhado usando o serviço desse recurso, você tem as mesmas habilidades e limitações da Conta da AWS do recurso.

  • Se o recurso for regional, você poderá acessá-lo somente a partir da Região da AWS em que ele existe na conta proprietária.

  • Se o recurso for global, você poderá acessá-lo de qualquer Região da AWS que o console de serviço e as ferramentas do recurso suportem. Você pode visualizar esses compartilhamentos de recursos e seus recursos globais no console do AWS RAM e nas ferramentas somente na região de origem designada, Leste dos EUA (Norte da Virgínia), us-east-1.

Como acessar o AWS RAM

Você pode trabalhar com o AWS RAM de qualquer uma das seguintes formas:

AWS RAMConsole do

O AWS RAM fornece uma interface de usuário na web, o console do AWS RAM. Após se cadastrar em uma conta da Conta da AWS, você poderá acessar o console do AWS RAM fazendo login no Console de gerenciamento da AWS e selecionando o AWS RAM na página inicial do console.

Você também pode navegar no seu navegador diretamente para o console do AWS RAM. Se você ainda não fez login, será pedido que faça isso antes que o console seja exibido.

AWS CLI e ferramentas para o Windows PowerShell

A AWS CLI e o Ferramentas da AWS para PowerShell fornecem acesso direto às operações públicas da API do AWS RAM. A AWS oferece suporte a essas ferramentas no Windows, macOS e Linux. Para obter mais informações sobre os conceitos básicos, consulte o Guia do usuário do AWS Command Line Interface ou o Guia do usuário do AWS Tools for Windows PowerShell. Para obter mais informações sobre os comandos do AWS RAM, consulte a Referência de comando da AWS CLI ou a Referência de Cmdlet do AWS Tools for Windows PowerShell.

SDKs da AWS

A AWS fornece comandos de API para um amplo conjunto de linguagens de programação. Para obter informações sobre os SDKs , consulte o Guia de referência de SDKs e ferramentas da AWS.

API de consulta

Se você não usa uma das linguagens de programação compatíveis, a API de consulta HTTPS AWS RAM fornece acesso programático a AWS RAM e AWS. A API do AWS RAM permite emitir solicitações HTTPS diretamente para o serviço. Quando você usa a API do AWS RAM, deve incluir código para assinar digitalmente solicitações usando suas credenciais. Para obter mais informações, consulte a Referência da API do AWS RAM.

Precificação para AWS RAM

Não há encargos adicionais para o uso do AWS RAM ou para a criação de compartilhamento de recursos e o compartilhamento de recursos entre contas. As cobranças de uso de recursos variam de acordo com o tipo de recurso. Para obter mais informações sobre como a AWS faz a cobrança de recursos compartilháveis, consulte a documentação do serviço de propriedade do recurso.

Conformidade e padrões internacionais

PCI DSS

O AWS RAM é compatível com o processamento, armazenamento e transmissão de dados de cartão de crédito por um comerciante ou provedor de serviços e foi validado como compatível com o Payment Card Industry (PCI) Data Security Standard (DSS).

Para obter mais informações sobre o PCI DSS, incluindo como solicitar uma cópia do pacote de conformidade com o PCI Compliance Package AWS, consulte Nível 1 do PCI DSS.

FedRAMP

O AWS RAM está autorizado como FedRAMP Moderate nas seguintes:Regiões da AWS Leste dos EUA (Norte da Virgínia), Leste dos EUA (Ohio), Oeste dos EUA (Norte da Califórnia) e Oeste dos EUA (Oregon).

O AWS RAM está autorizado como FedRAMP High nas seguintes:Regiões da AWS AWS GovCloud (EUA-Leste) e AWS GovCloud (Leste dos EUA).

O Federal Risk and Authorization Management Program (FedRAMP – Programa federal de gerenciamento de autorização e risco) é um programa do governo dos EUA que disponibiliza uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços na nuvem.

Para obter mais informações sobre conformidade com FedRAMP, consulte FedRAMP.

SOC e ISO

O AWS RAM pode ser usado para workloads sujeitos à conformidade com o Service Organization Control (SOC) e com os padrões ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701 da Organização Internacional de Padronização (ISO). Clientes de finanças, saúde e outros setores regulamentados podem obter informações sobre os processos e controles de segurança que protegem os dados dos clientes, que podem ser encontrados nos relatórios do SOC e nos certificados ISO e CSA STAR da AWS no AWS Artifact.

Para obter mais informações sobre a conformidade do SOC, consulte SOC.

Para obter mais informações sobre a conformidade com a ISO, consulte ISO 9001, ISO 27001, ISO 27017, ISO 27018 e ISO 27701.