Рубрики
Uncategorized

AWS Resource Access Manager-простой и мощный сервис для управления ресурсами с несколькими обязательствами

С множественным подходом по созданию инфраструктуры, всегда есть проблема … помеченная AWS, DevOps, Architecture.

С множественным подходом к построению инфраструктуры, всегда существует задача предоставления и управления ресурсами подчиненным счетам в организации. Предоставление ресурсов, держать их в курсе и правильно изгнать их — это всего лишь часть из них.

У AWS есть многочисленные решения, которые помогают сделать этот процесс надежным и безопасным, а менеджер доступа к ресурсам (RAM) является одним из них.

Короче говоря, служба RAM позволяет вам делиться ресурсами AWS, которые вы создаете в одной учетной записи AWS с другими учетными записями AWS. Это могут быть учетные записи ваших организаций, организационные единицы (OU) или даже сторонние счета.

Итак, давайте посмотрим, что такое оперативная память, и рассмотрим некоторые из его примеров использования.

Зачем использовать ОЗУ

Есть несколько преимуществ использования услуги RAM:

  1. Снижение операционных накладных расходов Анкет Устранить необходимость обеспечения одного и того же ресурса несколько раз — Ram делает это для вас

  2. Упрощенное управление безопасности Анкет Разрешения с управлением RAM AWS (по крайней мере, один тип ресурса) определяют действия, которые принципы с доступом к ресурсам (то есть пользователям ресурсов) могут выполнять эти ресурсы.

  3. Последовательный опыт . Вы делитесь ресурсом в его состоянии и с его конфигурацией безопасности с произвольным количеством учетных записей.

    Это невероятно хорошо играет в случае общего обмена организацией: новые учетные записи получают ресурсы автоматически. И сам общий ресурс выглядит как собственный ресурс в учетной записи, который принимает ваш общий доступ.

  4. Аудит и видимость Анкет RAM интегрируется с CloudWatch и CloudTrail.

Как поделиться ресурсом

Когда вы делитесь ресурсом, учетная запись AWS, которая владеет этим ресурсом, сохраняет полную собственность на ресурс.

Обмен ресурсом не меняет никаких разрешений или квот, которые применяются к этому ресурсу. Кроме того, вы можете поделиться ресурсом, только если у вас есть его.

Доступность общих ресурсов для региона: пользователи ваших общих ресурсов могут получить доступ к этим ресурсам только в том же регионе, где принадлежат ресурсы.

Создание доли ресурсов состоит из трех шагов:

  1. Укажите имя общего имени и ресурсы, которыми вы хотите поделиться. Это может быть один тип ресурса или несколько. Вы также можете пропустить выбор ресурсов и сделать это позже.

    Можно изменить общую ресурса позже (например, вы хотите добавить некоторые ресурсы к акции).

  2. Ассоциированные разрешения с типами ресурсов, которыми вы делитесь. Некоторые ресурсы могут иметь только одно управляемое разрешение (будет прикреплено автоматически), а некоторые могут иметь несколько.

    Вы можете проверить библиотеку разрешений в консоли RAM AWS, чтобы увидеть, какие управляемые разрешения доступны.

  3. Выберите, кто может использовать ресурсы, которыми вы делитесь: либо внешняя или организационная учетная запись, либо роль/пользователь. Если вы поделитесь ресурсом с третьими лицами, им придется явно принять обмен.

    Акция ресурсов по всей организации принимается неявно, если обмен ресурсами включен для организации.

Наконец, просмотрите сводную страницу общего ресурса и создайте его.

Только конкретные действия доступны пользователям общих ресурсов. Эти действия в основном имеют природу «только для чтения» и варьироваться в зависимости от типа ресурса .

Кроме того, служба RAM — Поддерживается Terraform , поэтому конфигурация обмена ресурсами может выглядеть так, например:

resource "aws_ram_resource_share" "example" {
  name                      = "example"
  allow_external_principals = false

  tags = {
    Environment = "Production"
  }
}

resource "aws_ram_resource_association" "example" {
  resource_arn       = aws_subnet.example.arn
  resource_share_arn = aws_ram_resource_share.example.arn
}

Пример вариантов использования

Одним из тривиальных, но ценных примеров использования услуг RAM является разделение списка управляемых префиксов. Предположим, у вас есть некоторый пользователь услуги в вашей организации, например, самостоятельный VPN-сервер. И у вас есть статический набор IPS для этого VPN: вы доверяете этим IPS и хотели бы, чтобы они были разрешены в других услугах.

Как сообщить об этих IPS во все учетные записи/пользователей организации?

А также Если набор IP меняется, как объявить об этом изменении и что следует сделать, чтобы отразить это изменение в услугах, которые зависят от него, например, групп безопасности?

Ответ — общий Управляемый список префиксов Анкет

Вы создаете список один раз в учетной записи и делитесь им в своей организации. Другие учетные записи автоматически получают доступ к этому списку и могут ссылаться на список в своих группах безопасности. И когда запись в списке изменяется, им не нужно выполнять какие -либо действия: их группы безопасности неявно получат обновленные IPS.

Другим повседневным использованием RAM является обмен VPC, который может сформировать основу Многочисленные архитектуры AWS Анкет

Конечно, служба RAM — не единственный способ организовать и централизовать управление ресурсами в AWS. Существует каталог услуг, управляющая башня, диспетчер системы, конфигурация и другие. Тем не менее, оперативная память относительно проста в принятии, но способна обеспечить достойные результаты.

Я надеюсь, что статья была информативной и актуальной для вас!

Если вам это понравилось, пожалуйста, поддержите меня, поделившись этой статьей в социальных сетях 🙏

Оригинал: «https://dev.to/aws-builders/aws-resource-access-manager-simple-and-powerful-service-for-multi-account-resource-governance-11na»