AWS Resource Access Manager
在 AWS 账户间和 Organizations 内安全共享资源,消除重复资源创建并降低成本的服务
概述
AWS Resource Access Manager(RAM)是一项在 AWS 账户间和 Organizations 内安全共享 AWS 资源的服务。无需在每个账户中创建重复资源,降低运维开销和成本,同时维持集中治理。可共享的资源包括 VPC 子网、Transit Gateway、Route 53 Resolver 规则、License Manager 配置等。
RAM 在多账户策略中的角色与共享模型
在遵循 AWS 最佳实践的多账户策略中,工作负载被隔离到不同账户以实现安全和计费边界。然而某些资源如网络基础设施,集中化比重复创建更有利。RAM 通过允许网络账户与工作负载账户共享 VPC 子网和 Transit Gateway 来弥合这一差距。共享可在组织级别(所有账户自动获得访问权限)、组织单元(OU)级别或特定账户级别配置。资源共享定义哪些资源与哪些主体共享,权限通过 RAM 托管权限管理,精确指定消费者可对共享资源执行的操作。此模型在维持账户隔离安全优势的同时实现高效的资源利用。
VPC 子网共享实现网络整合
VPC 子网共享是 RAM 最具影响力的用例之一。中央网络账户拥有 VPC 和子网,与工作负载账户共享。工作负载账户中的资源(EC2 实例、Lambda 函数、RDS 实例)直接启动到共享子网中,无需 VPC 对等或 Transit Gateway 即可出现在同一网络上。这大幅简化网络架构,减少 IP 地址浪费,并将网络安全控制(NACL、流日志)集中到一个账户。网络团队保持对 CIDR 分配、路由表和互联网网关的完全控制,工作负载团队只需部署到指定子网。资源计费保留在工作负载账户中,尽管共享基础设施仍维持清晰的成本归属。
Transit Gateway 共享与资源共享运维设计
Transit Gateway 共享允许中央网络账户构建和管理 Transit Gateway,工作负载账户附加其 VPC。这避免了每个账户需要自己的 Transit Gateway,简化路由管理。结合 RAM,网络团队控制哪些账户可以附加以及使用哪些路由表。运维设计方面,资源共享应按用途(网络、DNS、许可证)组织,采用清晰的命名规范。通过 CloudTrail 和 Config 规则监控共享资源使用确保合规。账户离开组织时,其对共享资源的访问自动撤销。定期审计资源共享验证只有预期账户有访问权限,防止大型组织中的范围蔓延。