翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

共有メッシュの使用

AWS Resource Access Manager サービスを使用して、 AWS アカウント間で App Mesh メッシュを共有できます。共有メッシュを使用すると、異なる AWS アカウントによって作成されたリソースが同じメッシュ内で相互に通信できます。

AWS アカウントは、メッシュリソース所有者、メッシュコンシューマー、またはその両方です。コンシューマーは、アカウントと共有されるメッシュにリソースを作成できます。オーナーは、アカウントが所有する任意のメッシュにリソースを作成できます。メッシュ所有者は、次のタイプのメッシュコンシューマーとメッシュを共有できます。

メッシュの共有方法の詳細については end-to-end、「」の「クロスアカウントメッシュ」の「」を参照してください GitHub。

メッシュを共有するアクセス許可の付与

アカウント間でメッシュを共有する場合、メッシュを共有するIAMプリンシパルに必要なアクセス許可と、メッシュ自体に必要なリソースレベルのアクセス許可があります。

メッシュを共有するアクセス許可の付与

IAM プリンシパルがメッシュを共有するには、最小限のアクセス許可のセットが必要です。AWSAppMeshFullAccess および AWSResourceAccessManagerFullAccessマネージドIAMポリシーを使用して、IAMプリンシパルが共有メッシュを共有して使用するために必要なアクセス許可を持っていることを確認することをお勧めします。

カスタムIAMポリシーを使用する場合は、appmesh:PutMeshPolicy、appmesh:GetMeshPolicy、および appmesh:DeleteMeshPolicyアクションが必要です。これらはアクセス許可のみのIAMアクションです。IAM プリンシパルにこれらのアクセス許可が付与されていない場合、 AWS RAM サービスを使用してメッシュを共有しようとするとエラーが発生します。

AWS Resource Access Manager サービスが を使用する方法の詳細についてはIAM、「 ユーザーガイド」の「 AWS RAM の使用方法IAM」を参照してください。 AWS Resource Access Manager

メッシュに対するアクセス許可の付与

共有メッシュには、次のアクセス許可があります。

共有メッシュはポリシーベースの認証を使用します。メッシュは、固定アクセス許可セットで と共有されます。これらのアクセス許可は、リソースポリシーに追加するように選択され、IAMユーザー/ロールに基づいてオプションのIAMポリシーを選択することもできます。これらのポリシーで許可されている権限の共通部分から、明示的に拒否された権限を除いたものが、プリンシパルのメッシュへのアクセス権になります。

メッシュを共有すると、 AWS Resource Access Manager サービスは という名前のマネージドポリシーを作成しAWSRAMDefaultPermissionAppMesh、次のアクセス許可を提供する App Mesh に関連付けます。

メッシュを共有するための前提条件

メッシュを共有するには、以下の前提条件を満たす必要があります。

関連サービス

メッシュ共有は AWS Resource Access Manager （AWS RAM) と統合されます。 AWS RAM は、 AWS アカウントまたは を通じて AWS リソースを共有できるサービスです AWS Organizations。では AWS RAM、リソース共有 を作成して、所有しているリソースを共有します。リソース共有は、共有するリソースと、それらを共有するコンシューマーを指定します。コンシューマーは、個々の AWS アカウント、組織単位、または の組織全体にすることができます AWS Organizations。

の詳細については AWS RAM、AWS RAM 「 ユーザーガイド」を参照してください。

メッシュを共有する

メッシュを共有すると、異なるアカウントで作成されたメッシュリソースが同じメッシュ内で相互に通信できるようになります。所有するメッシュのみを共有できます。メッシュを共有するには、メッシュをリソース共有に追加する必要があります。リソース共有は、 AWS アカウント間で AWS RAM リソースを共有できるリソースです。リソース共有では、共有対象のリソースと、共有先のコンシューマーを指定します。Amazon Linux コンソールを使用してメッシュを共有する場合は、既存のリソース共有にそれを追加します。メッシュを新しいリソース共有に追加するには、最初に AWS RAM コンソールを使用してリソース共有を作成する必要があります。

組織の一部であり AWS Organizations 、組織内で共有が有効になっている場合、組織内のコンシューマーに共有メッシュへのアクセスを自動的に許可できます。それ以外の場合、コンシューマーはリソース共有に参加するための招待を受け取り、招待を受け入れた後に共有メッシュへのアクセスを許可されます。

AWS RAM コンソールまたは を使用して、所有しているメッシュを共有できます AWS CLI。

AWS RAM コンソールを使用して所有しているメッシュを共有するには

手順については、「AWS RAM ユーザーガイド」の「リソース共有の作成」を参照してください。リソースタイプを選択するときは、[メッシュ] を選択してから、共有するメッシュを選択します。メッシュがリストされていない場合は、最初にメッシュを作成する必要があります。詳細については、「サービスメッシュの作成」を参照してください。

を使用して所有しているメッシュを共有するには AWS CLI

create-resource-share コマンドを使用します。--resource-arns オプションで、共有するメッシュARNの を指定します。

メッシュの共有解除

メッシュの共有を解除すると、App Mesh はメッシュの以前のコンシューマーによるメッシュへのそれ以降のアクセスを無効にします。ただし、App Mesh はコンシューマーが作成したリソースを削除しません。メッシュの共有が解除されると、メッシュの所有者のみがリソースにアクセスして削除できます。App Mesh は、メッシュ内のリソースを所有していたアカウントが、メッシュの共有解除後に設定情報を受信しないようにします。また、App Mesh は、メッシュ内にリソースを持つアカウントが、メッシュの共有解除後に設定情報を受信しないようにします。メッシュの所有者のみが共有を解除できます。

所有している共有メッシュの共有を解除するには、リソース共有からメッシュを削除する必要があります。これは、 AWS RAM コンソールまたは を使用して行うことができます AWS CLI。

AWS RAM コンソールを使用して所有している共有メッシュの共有を解除するには

手順については、「AWS RAM ユーザーガイド」の「リソース共有の更新」を参照してください。

を使用して所有している共有メッシュの共有を解除するには AWS CLI

disassociate-resource-share コマンドを使用します。

共有メッシュの特定

所有者とコンシューマーは、Amazon Linux コンソールと を使用して共有メッシュとメッシュリソースを識別できます。 AWS CLI

を使用して共有メッシュを識別するには AWS CLI

aws appmesh list-meshes などの aws appmesh list resource コマンドを使用します。このコマンドは、所有しているメッシュと共有されているメッシュを返します。meshOwner プロパティは AWS のアカウント ID meshOwnerを示し、 resourceOwner プロパティはリソース所有者の AWS アカウント ID を示します。メッシュリソースに対してコマンドを実行すると、これらのプロパティが返されます。

共有メッシュにアタッチしたユーザー定義のタグは、ユーザー自身の AWS アカウントでのみ利用可能です。メッシュを共有している他のアカウントでは使用できません。別のアカウントでメッシュの aws appmesh list-tags-for-resource コマンドを実行しても、アクセスは拒否されます。

請求と使用量測定

メッシュの共有は無料です。

インスタンスクォータ

メッシュにリソースを作成したユーザーに関係なく、メッシュのすべてのクォータは共有メッシュにも適用されます。メッシュの所有者のみがクォータの増加を要求できます。詳細については、「App Mesh Service Quotas」を参照してください。 AWS Resource Access Manager サービスにもクォータがあります。詳細については、「Service Quotas」を参照してください。