Skip to content
Khoá học AWSAdvanced TopicsResource Access Manager (RAM)

AWS Resource Access Manager (RAM) là gì

AWS Resource Access Manager (RAM) là dịch vụ giúp bạn chia sẻ tài nguyên AWS với:

  • Tài khoản AWS khác (cross-account sharing),
  • Toàn bộ hoặc một phần trong AWS Organizations (cross-organization sharing), mà không cần phải sao chép tài nguyên hoặc tạo cơ chế truy cập phức tạp.

Nói ngắn gọn: RAM = công cụ chính thức của AWS để “share” tài nguyên giữa nhiều tài khoản một cách an toàn và được quản lý.

Tại sao cần RAM?

Nhiều doanh nghiệp áp dụng mô hình multi-account để tách biệt môi trường (prod, staging, dev) hoặc theo bộ phận. Một số tài nguyên cần được dùng chung, ví dụ:

  • VPC Subnets để các tài khoản khác có thể tạo EC2/RDS trong cùng network.
  • Route 53 Resolver Rules, Transit Gateway để chia sẻ kết nối mạng.
  • License Manager configurations, Resource Groups, v.v.

Nếu không có RAM, việc chia sẻ yêu cầu thủ công và khó kiểm soát quyền.

Cách hoạt động

  1. Tạo Resource Share

    • Trong RAM Console hoặc CLI, bạn chọn tài nguyên cần chia sẻ (VPC Subnet, Transit Gateway, Route 53 rules, v.v.).
    • Đặt permissions tương ứng cho từng loại tài nguyên.

  2. Chỉ định Principals

    • Xác định người nhận: một hoặc nhiều AWS Account IDs, AWS Organization/OU, hoặc IAM Roles.

  3. Accept Invitation (nếu không cùng Organization)

    • Nếu chia sẻ cho tài khoản ngoài AWS Organizations, tài khoản đó cần chấp nhận lời mời (invitation).
    • Nếu trong cùng Organization và bật organization sharing, sẽ tự động chấp nhận.

  4. Sử dụng tài nguyên

    • Sau khi được chia sẻ, tài nguyên xuất hiện trong console của tài khoản nhận và có thể sử dụng như tài nguyên nội bộ (theo quyền đã cấp).

Các loại tài nguyên phổ biến có thể chia sẻ

Dịch vụ / Tài nguyênGhi chú
VPC SubnetsĐể tài khoản khác launch EC2/RDS trong cùng VPC.
Transit GatewayDùng chung kết nối network giữa nhiều VPC / on-prem.
Route 53 Resolver rules & zonesChia sẻ điều kiện DNS hoặc Private Hosted Zone.
License Manager ConfigurationsDùng chung license cho phần mềm thương mại.
Resource Groups / Outposts / Glue CatalogMột số dịch vụ khác cũng hỗ trợ qua RAM.

Danh sách tài nguyên hỗ trợ luôn được AWS cập nhật, xem thêm trong tài liệu chính thức.

Ưu điểm của AWS RAM

  • Không cần duplicate tài nguyên: tiết kiệm chi phí, tránh lỗi đồng bộ.
  • Quản trị tập trung: dễ dàng bật/tắt chia sẻ, thu hồi quyền ngay lập tức.
  • Tích hợp với AWS Organizations: chia sẻ tự động cho nhiều account hoặc OU.
  • Bảo mật & audit: hỗ trợ chính sách chi tiết, CloudTrail ghi log đầy đủ.

So sánh nhanh với các cơ chế khác

Cơ chếKhi nào dùng
Resource Access ManagerChia sẻ tài nguyên được hỗ trợ giữa nhiều account/Organization.
Cross-account IAM roleCấp quyền truy cập API hoặc thao tác, không chia sẻ tài nguyên trực tiếp.
VPC Peering / PrivateLinkKết nối network, không phải chia sẻ resource object.

RAM khác với cross-account IAM role: Role cấp quyền thao tác, trong khi RAM giúp “nhìn thấy và sử dụng” tài nguyên như thể là của mình.

Active Directory (AD) & AWS Directory Services