運用管理

AWS Resource Access Manager

Servicio para compartir recursos de forma segura entre cuentas AWS y dentro de Organizations, eliminando la creación de recursos duplicados y reduciendo costos

Unos 3 min de lectura

Descripción general

AWS Resource Access Manager (RAM) es un servicio que permite compartir de forma segura recursos AWS entre cuentas y dentro de AWS Organizations. Elimina la necesidad de crear recursos duplicados en cada cuenta, reduciendo la sobrecarga operativa y los costos mientras mantiene la gobernanza centralizada. Los recursos compartibles incluyen subredes VPC, Transit Gateways, reglas de Route 53 Resolver, configuraciones de License Manager y más.

Rol de RAM en la estrategia multicuenta y modelos de compartición

En una estrategia multicuenta siguiendo las mejores prácticas de AWS, las cargas de trabajo se aíslan en cuentas separadas para límites de seguridad y facturación. Sin embargo, ciertos recursos como la infraestructura de red se benefician de la centralización en lugar de la duplicación. RAM cierra esta brecha permitiendo que una cuenta de networking comparta subredes VPC y Transit Gateways con cuentas de carga de trabajo. La compartición puede configurarse a nivel de organización (todas las cuentas reciben acceso automáticamente), a nivel de unidad organizativa (OU) o con cuentas individuales específicas. Los resource shares definen qué recursos se comparten con qué principales, y los permisos se gestionan mediante permisos gestionados por RAM que especifican exactamente qué acciones pueden realizar los consumidores.

Compartición de subredes VPC para consolidación de red en la práctica

La compartición de subredes VPC es uno de los casos de uso más impactantes de RAM. Una cuenta central de networking posee la VPC y las subredes, compartiéndolas con cuentas de carga de trabajo. Los recursos en cuentas de carga de trabajo (instancias EC2, funciones Lambda, instancias RDS) se lanzan directamente en las subredes compartidas, apareciendo en la misma red sin VPC peering ni Transit Gateway. Esto simplifica dramáticamente la arquitectura de red, reduce el desperdicio de direcciones IP y centraliza los controles de seguridad de red (NACLs, flow logs) en una cuenta. El equipo de networking mantiene control total sobre la asignación de CIDR, tablas de rutas e internet gateways, mientras los equipos de carga de trabajo simplemente despliegan en sus subredes designadas.

Compartición de Transit Gateway y diseño operativo de resource shares

La compartición de Transit Gateway permite que una cuenta central de networking construya y gestione el Transit Gateway mientras las cuentas de carga de trabajo adjuntan sus VPCs. Esto evita que cada cuenta necesite su propio Transit Gateway y simplifica la gestión de enrutamiento. Para el diseño operativo, los resource shares deben organizarse por propósito (networking, DNS, licenciamiento) con convenciones de nomenclatura claras. Monitorear el uso de recursos compartidos a través de CloudTrail y reglas de Config asegura el cumplimiento. Cuando las cuentas abandonan la organización, su acceso a recursos compartidos se revoca automáticamente. Las auditorías regulares de resource shares verifican que solo las cuentas previstas tengan acceso.

共有するXB!

Términos relacionados

AWS OrganizationsAmazon VPCAWS Transit GatewayAWS Control TowerAWS IAM

Servicios relacionados

AWS OrganizationsAmazon VPCAWS Transit GatewayAWS Control Tower

Artículos relacionados

Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Conexión dedicada con AWS Direct Connect - Configuración redundante y control de tráficoDiseñe configuraciones redundantes de conexión dedicada y conéctese a VPCs de múltiples regiones con Direct Connect Gateway. También presentamos la agregación de ancho de banda con LAG y el cifrado MACsec.Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.Compartición de recursos entre cuentas con AWS RAM - Subnets VPC y Transit Gateway compartidosComparte recursos AWS entre cuentas de la organización sin duplicarlos. Presentamos la compartición de subnets VPC, Transit Gateway, Route 53 Resolver Rules y otros recursos.Red hub-and-spoke con AWS Transit Gateway - Diseño de conectividad multi-VPCAgregación de múltiples VPCs y redes on-premises en topología hub-and-spoke, estableciendo límites de seguridad con separación de tablas de rutas. También presentamos la conectividad multi-región mediante peering.

Términos y artículos similares

Compartición de recursos entre cuentas con AWS RAM - Subnets VPC y Transit Gateway compartidosComparte recursos AWS entre cuentas de la organización sin duplicarlos. Presentamos la compartición de subnets VPC, Transit Gateway, Route 53 Resolver Rules y otros recursos.AWS Resource Access ManagerComparta recursos de AWS de forma segura con otras cuentas dentro de su organizaciónAWS Transit GatewayHub de red que conecta múltiples VPC y redes on-premises a través de un gateway centralDiseño multi-cuenta de Amazon VPC Lattice - Patrones de configuración con RAM y redes de serviciosExplicamos el diseño de compartición con RAM, la estrategia de segmentación de redes de servicios y el diseño jerárquico de Auth Policy para operar VPC Lattice en entornos multi-cuenta.Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.