翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS リソースの共有
AWS RAM を使用して、所有しているリソースを共有するには、以下の手順に従います。
メモ
-
リソースを所有する AWS アカウント 外のプリンシパルを含むリソース共有は、リソースが作成されたアカウント内のリソースに適用されるアクセス許可やクォータに影響することはありません。
-
AWS RAM はリージョンでのサービスです。共有先のプリンシパルは、リソース共有が作成された AWS リージョン 内のみのアクセスが可能です。
-
リソースによっては、共有に関する特別な考慮事項と前提条件があります。詳細については、「共有可能な AWS リソース」を参照してください。
AWS Organizations 内でリソース共有を有効にする
アカウントが AWS Organizations によって管理されている場合、それを活用すればリソースを共有しやすくなります。組織の有無にかかわらず、ユーザーは個々のアカウントとリソースを共有できます。ただし、アカウントが組織内にある場合には、各アカウントを列挙しなくても、個々のアカウント、または組織内または OU 内のすべてのアカウントとの共有が可能です。
組織内でリソースを共有するには、まず AWS RAM コンソールまたは AWS Command Line Interface (AWS CLI) を使用して AWS Organizations との共有を有効にする必要があります。組織内でリソースを共有する場合、AWS RAM はプリンシパルに招待状を送信しません。組織内のプリンシパルは、招待状を交換せずに共有リソースにアクセスできます。
組織内でリソースの共有を有効にする場合、AWS RAM は AWSServiceRoleForResourceAccessManager
と呼ばれるサービスがリンクされたロールを作成します。このロールは AWS RAM サービスのみが引き受けることができ、AWS 管理ポリシー AWSResourceAccessManagerServiceRolePolicy
を使用して、そのサービスが所属する組織に関する情報を取得する AWS RAM 権限を付与します。
組織全体または OU とリソースを共有する必要がなくなった場合は、リソース共有を無効にすることができます。詳細については、「AWS Organizations とのリソース共有の無効化」を参照してください。
最小アクセス許可
以下の処理を実行するには、次のアクセス許可を持つ組織の管理アカウントのプリンシパルでサインインする必要があります。
-
ram:EnableSharingWithAwsOrganization
-
iam:CreateServiceLinkedRole
-
organizations:enableAWSServiceAccess
-
organizations:DescribeOrganization
要件
-
これらの手順は、組織の管理アカウントのプリンシパルとしてサインインしている場合のみ実行できます。
-
その組織で、すべての機能が有効になっている必要があります。詳細については、AWS Organizations ユーザーガイドの「組織内のすべての機能の有効化」を参照してください。
重要
AWS RAM コンソールまたは enable-sharing-with-aws-organization AWS CLI コマンドを使用して AWS Organizations との共有を有効にする必要があります。これにより、AWSServiceRoleForResourceAccessManager
サービスリンクロールが確実に作成されます。AWS Organizations コンソールまたは enable-aws-service-access AWS CLI コマンドを使用して AWS Organizations で信頼されたアクセスを有効にすると、AWSServiceRoleForResourceAccessManager
サービスリンクロールが作成されず、組織内でリソースを共有できなくなります。
リソース共有を作成する
所有するリソースを共有するには、リソース共有を作成します。プロセスの概要を次に示します。
-
共有するリソースを追加します。
-
共有に含める各リソースタイプで、リソースタイプで使用する管理アクセス許可を指定します。
-
使用可能な AWS 管理アクセス許可および既存のカスタマー管理アクセス許可を選択することができます。または、新しいカスタマー管理アクセス許可を作成することもできます。
-
AWS 管理アクセス許可は、標準的なユースケースに対応するように AWS によって作成されます。
-
カスタマー管理アクセス許可を使用すると、セキュリティやビジネスニーズに合わせて独自の管理アクセス許可をカスタマイズできます。
注記
選択した管理アクセス許可に複数のバージョンがある場合、AWS RAM はデフォルトバージョンを自動的にアタッチします。アタッチできるのは、デフォルトとして指定されているバージョンのみです。
-
-
リソースにアクセスできるようにしたいプリンシパルを指定します。
考慮事項
-
共有に含めた AWS リソースを後で削除する必要が生じた場合は、そのリソースをリソース共有から削除するか、リソース共有を削除することを推奨します。
-
リソース共有に含めることができるリソースタイプの一覧は「共有可能な AWS リソース」で確認できます。
-
共有できるのは自分が所有するリソースのみです。自分が共有先になっているリソースを共有リソースにすることはできません。
-
AWS RAM はリージョンでのサービスです。リソースを他の AWS アカウント 内のプリンシパルと共有する場合、プリンシパルはリソースが作成されたのと同じ AWS リージョン から各リソースにアクセスする必要があります。サポートされているグローバルリソースについては、そのリソースのサービスコンソールとツールがサポートしているどの AWS リージョン からでもアクセスできます。このようなリソース共有とそのグローバルリソースは、指定されたホームリージョンである米国東部 (バージニア北部)
us-east-1
の AWS RAM コンソールとツールでのみ表示できます。AWS RAM とグローバルリソースの詳細については、「リージョナルリソースの共有とグローバルリソースの共有の比較」を参照してください。 -
共有しているアカウントが AWS Organizations の組織の一部で、組織で共有が有効化されている場合、組織内のあらゆる共有先プリンシパルには、招待状なしでリソース共有にアクセスできるアクセス許可が自動的に付与されます。組織のコンテキスト外で共有するアカウントのプリンシパルは、リソース共有に参加するための招待を受け取り、招待を受け入れた後でのみ、共有リソースへのアクセス権が付与されます。
サービスプリンシパルと共有する場合、他のプリンシパルをリソース共有に関連付けることはできません。
-
組織の一部であるアカウントまたはプリンシパル間で共有する場合、組織のメンバーシップを変更すると、リソース共有へのアクセスに動的に影響します。
-
組織またはリソース共有へのアクセス権を持つ OU に AWS アカウント を追加する場合、新しいメンバーに共有リソースへのアクセス許可が自動的に付与されます。その後、共有先のアカウント管理者は、アカウント内の個々のプリンシパルに、共有内のリソースへのアクセス権を付与できます。
-
組織またはリソース共有へのアクセス権を持つ OU からアカウントを削除する場合、そのアカウントのすべてのプリンシパルは、リソース共有からアクセス可能なリソースへのアクセス許可を自動的に失います。
-
メンバーアカウント、またはメンバーアカウントの IAM ロールまたはユーザーと直接共有し、そのアカウントを組織から削除する場合、そのアカウントのすべてのプリンシパルは、そのリソース共有からアクセス可能なリソースへのアクセス許可を失います。
重要
組織または OU と共有し、スコープにリソース共有を所有するアカウントが含まれる場合、共有アカウントのすべてのプリンシパルは、共有内のリソースに自動的にアクセスできるようになります。付与されるアクセスは、共有に関連付けられている管理アクセス許可によって定義されます。これは、共有内の各リソースに AWS RAM がアタッチするリソースベースのポリシーで
"Principal": "*"
が使用されるためです。詳細については、「"Principal": "*" をリソースベースのポリシーで使用することの影響」を参照してください。他のコンシューマーアカウントのプリンシパルは、共有のリソースにすぐにはアクセスできません。他のアカウントの管理者は、まず ID ベースのアクセス許可ポリシーを適切なプリンシパルにアタッチする必要があります。これらのポリシーは、リソース共有内の個々のリソース ARN への
Allow
アクセスを付与する必要があります。これらのポリシーのアクセス許可は、リソース共有に関連付けられた管理アクセス許可で指定されているアクセス許可を超えることはできません。 -
-
リソース共有に追加できるのは、アカウントがメンバーとして所属する組織とその組織の OU のみです。組織の外部から OU または組織をプリンシパルとしてリソース共有に追加することはできません。ただし、個々の AWS アカウント、または組織外のサポートされているサービスの IAM ロールをリソース共有のプリンシパルとして追加することはできます。
注記
すべてのリソースタイプを IAM ロールやユーザーと共有できるわけではありません。これらのプリンシパルと共有できるリソースの詳細については、「共有可能な AWS リソース」を参照してください。
次のリソースタイプについては、7 日以内に共有への招待を受け入れる必要があります。7 日以内に招待を受け入れない場合、招待は期限切れになり、自動的に辞退したことになります。
重要
以下のリストに含まれていない共有リソースタイプについては、12 時間以内にリソース共有への招待を受け入れる必要があります。12 時間が経過すると、招待は期限切れになり、リソース共有のエンドユーザープリンシパルとの関連付けが解除されます。エンドユーザーは招待を受け入れることができなくなります。
-
Amazon Aurora – DB クラスター
-
Amazon EC2 — キャパシティ予約と専有ホスト
-
AWS License Manager - ライセンス設定
-
AWS Outposts - ローカルゲートウェイルートテーブル、アウトポスト、サイト
-
Amazon Route 53 – 転送ルール
-
Amazon VPC — カスタマーが所有する IPv4 アドレス、プレフィックスリスト、サブネット、トラフィックミラーターゲット、トランジットゲートウェイ、トランジットゲートウェイマルチキャストドメイン
-