AWS Resource Access Manager (RAM)
- 소유하고 있는 AWS 리소스를 다른 계정과 공유할 수 있게 하는 서비스
- 어떤 계정과도 공유 가능하고 또는 조직 내에서 공유할 수 있음
- 리소스 중복을 피하는 것이 중요
- VPC Subnets 리소스 공유
모두 동일한 조직 내에서 가져와 VPC 서브넷을 공유하여 모든 리소스가 동일한 서브넷 내에서 실행되도록 할 수 있음
보안 그룹이나 기본 VPC를 공유할 수는 없지만 공유 VPC에서 자신의 리소스를 관리할 수 있으며
자신에게 속하지 않은 리소스를 보거나 수정하거나 삭제할 수는 없음 - AWS Transit Gateway 리소스 공유
- Route53 Resolver Rules 리소스 공유
- License Manager Configurations 리소스 공유
Resource Access Manager –VPC example
- VPC에서 RAM을 사용하는 방법
- AWS 계정이 있고 이 계정이 VPC Owner가 되며 이 계정 내에 VPC를 생성
VPC에는 리소스를 배포하는 사설 서브넷이 있으며 다른 계정들은 동일한 VPC를 공유하게 됨
즉 계정1과 계정2는 RAM 덕분에 동일한 VPC를 공유하게 되는 것
각 계정은 자체 리소스에 대한 책임이 있고 다른 계정의 다른 리소스를 보거나 수정하거나 삭제할 수 없음
즉, 여기에서 공유되는 유일한 것은 사설 네브넷
네트워킹 계층 있으며 여기서 계정1은 EC2 인스턴스를 생성할 있고 애플리케이션 로드 밸런서를 갖기 때문에
계정2의 EC2 인스턴스와 통신할 수 있지만 모두 계정1에 속해 있으므로 AWS Cloud-VPC Owner과 계정2는 이를 볼 수 없음
마찬가지로 계정1은 계정2에 생성된 EC2 인스턴스를 볼 수 없음
VPC Owner 계정 내에 RDS 데이터베이스를 생성할 경우 다른 계정에는 보이지 않지만 네트워크는 공유되므로
VPC에 배포된 모든 것이 VPC의 다른 리소스와 통신이 가능하며 애플리케이션이 사설 IP를 이용해 서로 액세스할 수 있다는 것
- 서로 공용 IP를 통해 액세스할 필요가 없으므로 보안에 있어서 엄청난 장점을 가지며
보안 그룹을 참조해서 계정 정체에 최대한의 보안을 유지할 수 있음 - 즉, RDS의 보안 그룹을 수정하여 계정1의 EC2 인스턴스의 보안 그룹을 허용하면
EC2 인스턴스가 VPC Owner 계정으로부터 RDS 데이터베이스에 액세스할 수 있게 되며
또한 계정1 내부의 ALB에서 계정2 내부의 EC2 인스턴스로 액세스를 다시 허용하면
계정2의 EC2 인스턴스가 사설 IP나 사설 DNS를 이용해 ALB에 직접 액세스할 수 있음 - 이를 통해 여러 계정에 걸쳐 전체 네트워킹 계층을 공유하고 리소스들이 서로 통신하도록 할 수 있음
<리소스 액세스 관리자 (RAM) 실습>
- 리소스 저장소 생성
리소스 저장소를 통해 다른 계정들과 리소스를 공유할 수 있고 공유를 받을 수도 있음
이름을 MyFirstResourceShare로 하여 생성하며 공유할 수 있는 리소스 타입은 다양하게 존재하며 그 중 VPC 서브넷이 중요
또한 Principals을 통해 어떤 계정이 리소스에 액세스할 수 있게 될 것인지 설정할 수 있음
그리고 리소스에 태그도 지정할 수 있음
- 리소스 공유 수락
다른 계정이 해당 리소스 공유를 수락해야 사용을 시작할 수 있음
'Cloud > AWS' 카테고리의 다른 글
| [SAA] AWS 보안 섹션 소개 (0) | 2022.04.21 |
|---|---|
| [SAA] AWS 싱글 사인온 (SSO) 개요 (0) | 2022.04.21 |
| [SAA] IAM 고급 (0) | 2022.04.21 |
| [SAA] 조직 개요 (0) | 2022.04.21 |
| [SAA] 디렉토리 서비스 개요 (0) | 2022.04.21 |
