С множественным подходом к построению инфраструктуры, всегда существует задача предоставления и управления ресурсами подчиненным счетам в организации. Предоставление ресурсов, держать их в курсе и правильно изгнать их — это всего лишь часть из них.
У AWS есть многочисленные решения, которые помогают сделать этот процесс надежным и безопасным, а менеджер доступа к ресурсам (RAM) является одним из них.
Короче говоря, служба RAM позволяет вам делиться ресурсами AWS, которые вы создаете в одной учетной записи AWS с другими учетными записями AWS. Это могут быть учетные записи ваших организаций, организационные единицы (OU) или даже сторонние счета.
Итак, давайте посмотрим, что такое оперативная память, и рассмотрим некоторые из его примеров использования.
Зачем использовать ОЗУ
Есть несколько преимуществ использования услуги RAM:
Снижение операционных накладных расходов Анкет Устранить необходимость обеспечения одного и того же ресурса несколько раз — Ram делает это для вас
Упрощенное управление безопасности Анкет Разрешения с управлением RAM AWS (по крайней мере, один тип ресурса) определяют действия, которые принципы с доступом к ресурсам (то есть пользователям ресурсов) могут выполнять эти ресурсы.
Последовательный опыт . Вы делитесь ресурсом в его состоянии и с его конфигурацией безопасности с произвольным количеством учетных записей.
Это невероятно хорошо играет в случае общего обмена организацией: новые учетные записи получают ресурсы автоматически. И сам общий ресурс выглядит как собственный ресурс в учетной записи, который принимает ваш общий доступ.
Аудит и видимость Анкет RAM интегрируется с CloudWatch и CloudTrail.
Как поделиться ресурсом
Когда вы делитесь ресурсом, учетная запись AWS, которая владеет этим ресурсом, сохраняет полную собственность на ресурс.
Обмен ресурсом не меняет никаких разрешений или квот, которые применяются к этому ресурсу. Кроме того, вы можете поделиться ресурсом, только если у вас есть его.
Доступность общих ресурсов для региона: пользователи ваших общих ресурсов могут получить доступ к этим ресурсам только в том же регионе, где принадлежат ресурсы.
Создание доли ресурсов состоит из трех шагов:
Укажите имя общего имени и ресурсы, которыми вы хотите поделиться. Это может быть один тип ресурса или несколько. Вы также можете пропустить выбор ресурсов и сделать это позже.
Можно изменить общую ресурса позже (например, вы хотите добавить некоторые ресурсы к акции).
Ассоциированные разрешения с типами ресурсов, которыми вы делитесь. Некоторые ресурсы могут иметь только одно управляемое разрешение (будет прикреплено автоматически), а некоторые могут иметь несколько.
Вы можете проверить библиотеку разрешений в консоли RAM AWS, чтобы увидеть, какие управляемые разрешения доступны.
Выберите, кто может использовать ресурсы, которыми вы делитесь: либо внешняя или организационная учетная запись, либо роль/пользователь. Если вы поделитесь ресурсом с третьими лицами, им придется явно принять обмен.
Акция ресурсов по всей организации принимается неявно, если обмен ресурсами включен для организации.
Наконец, просмотрите сводную страницу общего ресурса и создайте его.
Только конкретные действия доступны пользователям общих ресурсов. Эти действия в основном имеют природу «только для чтения» и варьироваться в зависимости от типа ресурса .
Кроме того, служба RAM — Поддерживается Terraform , поэтому конфигурация обмена ресурсами может выглядеть так, например:
resource "aws_ram_resource_share" "example" { name = "example" allow_external_principals = false tags = { Environment = "Production" } } resource "aws_ram_resource_association" "example" { resource_arn = aws_subnet.example.arn resource_share_arn = aws_ram_resource_share.example.arn }
Пример вариантов использования
Одним из тривиальных, но ценных примеров использования услуг RAM является разделение списка управляемых префиксов. Предположим, у вас есть некоторый пользователь услуги в вашей организации, например, самостоятельный VPN-сервер. И у вас есть статический набор IPS для этого VPN: вы доверяете этим IPS и хотели бы, чтобы они были разрешены в других услугах.
Как сообщить об этих IPS во все учетные записи/пользователей организации?
А также Если набор IP меняется, как объявить об этом изменении и что следует сделать, чтобы отразить это изменение в услугах, которые зависят от него, например, групп безопасности?
Ответ — общий Управляемый список префиксов Анкет
Вы создаете список один раз в учетной записи и делитесь им в своей организации. Другие учетные записи автоматически получают доступ к этому списку и могут ссылаться на список в своих группах безопасности. И когда запись в списке изменяется, им не нужно выполнять какие -либо действия: их группы безопасности неявно получат обновленные IPS.
Другим повседневным использованием RAM является обмен VPC, который может сформировать основу Многочисленные архитектуры AWS Анкет
Конечно, служба RAM — не единственный способ организовать и централизовать управление ресурсами в AWS. Существует каталог услуг, управляющая башня, диспетчер системы, конфигурация и другие. Тем не менее, оперативная память относительно проста в принятии, но способна обеспечить достойные результаты.
Я надеюсь, что статья была информативной и актуальной для вас!
Если вам это понравилось, пожалуйста, поддержите меня, поделившись этой статьей в социальных сетях 🙏
Оригинал: «https://dev.to/aws-builders/aws-resource-access-manager-simple-and-powerful-service-for-multi-account-resource-governance-11na»