Administración de operaciones

Compartición de recursos entre cuentas con AWS RAM - Subnets VPC y Transit Gateway compartidos

Comparte recursos AWS entre cuentas de la organización sin duplicarlos. Presentamos la compartición de subnets VPC, Transit Gateway, Route 53 Resolver Rules y otros recursos.

約 7 分で読めます

Descripción general de RAM

RAM (Resource Access Manager) es un servicio que comparte de forma segura más de 30 tipos de recursos AWS entre múltiples cuentas. En entornos multi-cuenta, cada cuenta posee sus propios recursos, pero los recursos de red (subnets VPC, Transit Gateways), recursos DNS (reglas de Route 53 Resolver) y recursos de seguridad (políticas de Network Firewall) son más eficientes cuando se comparten. Compartir mediante RAM elimina la duplicación de recursos y reduce costos. Los recursos compartidos se referencian y utilizan directamente desde las cuentas consumidoras sin necesidad de cambio de roles IAM ni relay de llamadas API. La propiedad de los recursos permanece en la cuenta de origen mientras las cuentas destino reciben solo permisos de uso, manteniendo la gobernanza mientras se habilita la utilización eficiente.

Compartición de subnets VPC

La compartición de subnets VPC es un patrón donde una cuenta de red posee la VPC y subnets, y las cuentas de carga de trabajo crean recursos (EC2, RDS, Lambda, tareas ECS) dentro de las subnets compartidas. Esto elimina la necesidad de que cada cuenta tenga su propia VPC, previniendo la fragmentación del espacio de direcciones IP. Como la cuenta de red gestiona centralmente los bloques CIDR, la combinación con IPAM permite asignación eficiente sin solapamientos. Los grupos de seguridad permanecen independientes por cuenta, manteniendo el aislamiento de red incluso dentro de subnets compartidas. Sin embargo, las NACLs operan a nivel de subnet y son gestionadas solo por la cuenta propietaria. Los recursos en subnets compartidas pueden comunicarse directamente vía IP privada con otros recursos en la misma VPC sin requerir VPC peering o Transit Gateway.

Recursos compartibles y patrones de diseño

Los recursos compartibles a través de RAM incluyen más de 30 tipos: subnets VPC, Transit Gateways, reglas de Route 53 Resolver, configuraciones de License Manager, clústeres Aurora DB, proyectos CodeBuild, políticas de Network Firewall, grupos de Verified Access, pools IPAM, Capacity Reservations y Outposts. La compartición dentro de una Organization se aprueba automáticamente, mientras que fuera requiere aprobación por invitación. Los permisos gestionados de RAM proporcionan control granular sobre las operaciones permitidas (solo lectura, creación habilitada, asociación habilitada). Crear permisos gestionados personalizados permite definir niveles más restrictivos. Para profundizar en estrategias multi-cuenta, consulte libros relacionados en Amazon.

Integración con Organizations y automatización

RAM se integra con AWS Organizations para automatizar la compartición de recursos a nivel de OU (Unidad Organizativa). Al habilitar la compartición dentro de Organizations, las cuentas destino acceden automáticamente a los recursos sin aprobación de invitación. Cuando una nueva cuenta se añade a una OU, recibe automáticamente acceso a los recursos compartidos con esa OU. Combinado con CloudFormation StackSets, esto permite la automatización completa de creación de cuentas, ubicación en OU, configuración de compartición y despliegue inicial. Las Service Control Policies (SCP) combinadas con políticas de compartición RAM proporcionan control organizacional sobre qué recursos se comparten con qué OUs. El uso de recursos compartidos puede auditarse vía CloudTrail.

Mejores prácticas de diseño y errores comunes

Al diseñar la compartición de subnets VPC, es crítico asignar tamaños CIDR con margen suficiente. Como múltiples cuentas crean recursos en la misma subnet, el agotamiento de direcciones IP afecta a todas las cuentas. Un /24 (256 direcciones) suele ser insuficiente; se recomiendan rangos /20 a /22. Un error común es que eliminar un resource share se bloquea si las cuentas consumidoras aún tienen recursos (como ENIs) en la subnet compartida. El inventario de recursos antes de eliminar la compartición es obligatorio. Para Transit Gateway compartido, el diseño de tablas de rutas es importante, requiriendo planificación previa de requisitos de segmentación. Además, las comparticiones RAM se configuran por región, por lo que en despliegues multi-región es fácil olvidar crear Resource Shares separados en cada región.

Comparación con VPC Peering

La compartición de subnets VPC y VPC peering proporcionan conectividad entre cuentas, pero difieren en filosofía arquitectónica. VPC peering tiene cada cuenta con su propia VPC y conexiones de peering para enrutamiento mutuo. La conectividad full-mesh entre 10 cuentas requiere 45 conexiones, y la gestión de tablas de rutas crece rápidamente. La compartición de subnets consolida la VPC en una sola, eliminando la necesidad de peering. Sin embargo, con subnets compartidas, las NACLs son comunes para todas las cuentas, requiriendo VPC peering o Transit Gateway cuando se necesitan NACLs diferentes por cuenta. Un Transit Gateway compartido vía RAM proporciona conectividad hub-and-spoke a bajo costo, pero los cargos de procesamiento de datos (por GB) se acumulan según el tráfico entre cuentas, haciendo que la compartición de subnets sea más eficiente para alta comunicación.

Precios de RAM

RAM en sí es gratuito. Los costos dependen del uso de los recursos compartidos por las cuentas destinatarias. Con subnets VPC compartidas, los recursos creados (EC2, RDS) se cobran a la cuenta destinataria. Con Transit Gateway compartido, las tarifas de attachment (por hora) y procesamiento de datos (por GB) se cobran a la cuenta destinataria. Para reglas de Route 53 Resolver compartidas, compartir las reglas es gratuito, pero los cargos de ENI del endpoint Resolver se cobran a la cuenta propietaria. Realice auditorías regulares y elimine comparticiones innecesarias para reducir riesgos de seguridad.

Resumen

RAM es un servicio para compartir recursos eficientemente en entornos multi-cuenta. La compartición de subnets VPC centraliza la gestión del espacio IP y reduce conexiones VPC peering. Transit Gateway compartido consolida la conectividad, soportando más de 30 tipos de recursos. La integración con Organizations permite compartición automática a nivel de OU y automatización completa con CloudFormation StackSets, mientras CloudTrail audita el acceso. Establecer planes de dimensionamiento CIDR y reglas de inventario con antelación es clave para operaciones estables.

Servicios relacionados

AWS Resource Access ManagerComparta recursos de AWS de forma segura con otras cuentas dentro de su organizaciónAWS OrganizationsServicio para gestionar centralmente múltiples cuentas de AWSAmazon VPCRed virtual aislada lógicamente en la nube de AWS donde puede lanzar recursos

Artículos relacionados

Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.Red hub-and-spoke con AWS Transit Gateway - Diseño de conectividad multi-VPCAgregación de múltiples VPCs y redes on-premises en topología hub-and-spoke, estableciendo límites de seguridad con separación de tablas de rutas. También presentamos la conectividad multi-región mediante peering.

Más sobre este tema

El mecanismo de sincronización horaria interna de AWS - Amazon Time Sync Service y el diseño de smearing de segundos intercalaresExplicamos el mecanismo de Amazon Time Sync Service operado de forma independiente por AWS, la fuente de tiempo de alta precisión con GPS y relojes atómicos, la decisión de diseño de absorber los segundos intercalares mediante smearing y la importancia de la sincronización horaria en sistemas distribuidos.Centralización de registros de auditoría SaaS con AWS AppFabric - Estandarización OCSF e integración con Security LakeExplicamos la recopilación de registros de auditoría de aplicaciones SaaS con AppFabric, la estandarización al formato OCSF y la construcción de pipelines de análisis.Implementación de Feature Flags con AWS AppConfig - Despliegue seguro de configuración y rollbackDespliega cambios de configuración de forma independiente al código mediante estrategias Linear y Exponential. Garantiza la seguridad con rollback automático activado por alarmas de CloudWatch.Revisión de arquitectura - Evaluación sistemática de cargas de trabajo con AWS Well-Architected ToolExplica la revisión de arquitectura de cargas de trabajo usando AWS Well-Architected Tool. Presenta la evaluación basada en 6 pilares, la elaboración de planes de mejora y el uso de lentes personalizados.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.Lecciones de sistemas distribuidos de los informes de incidentes (COE) de AWS - Principios de diseño que cambiaron las grandes interrupciones del pasadoA partir de los Correction of Errors (COE) e informes de incidentes publicados por AWS, explicamos las causas raíz de grandes incidentes pasados como la interrupción de S3, la interrupción de DNS en us-east-1 y la interrupción de Kinesis, y cómo cambiaron los principios de diseño de AWS.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Por qué existen las cuotas de servicio de AWS - Diseño multitenant que protege la infraestructura compartidaExplicamos que las cuotas de servicio de AWS (antes límites de servicio) no son simples restricciones sino un diseño para proteger a otros clientes en un entorno multitenant, desde el problema del vecino ruidoso, la diferencia entre límites soft y hard, y el trasfondo de las solicitudes de aumento.

Artículos y servicios similares

AWS Resource Access ManagerServicio para compartir recursos de forma segura entre cuentas AWS y dentro de Organizations, eliminando la creación de recursos duplicados y reduciendo costosGestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.Diseño multi-cuenta de Amazon VPC Lattice - Patrones de configuración con RAM y redes de serviciosExplicamos el diseño de compartición con RAM, la estrategia de segmentación de redes de servicios y el diseño jerárquico de Auth Policy para operar VPC Lattice en entornos multi-cuenta.AWS Transit GatewayHub de red que conecta múltiples VPC y redes on-premises a través de un gateway central