翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS リソースの共有
を使用して所有しているリソースを共有するには AWS RAM、次の操作を行います。
+ [内でリソース共有を有効にする AWS Organizations](#getting-started-sharing-orgs) (オプション)
+ [リソース共有を作成する](#getting-started-sharing-create)
**注意事項**
リソースを所有 AWS アカウント する 以外のプリンシパルとリソースを共有しても、リソースを作成したアカウント内のリソースに適用されるアクセス許可やクォータは変更されません。
AWS RAM はリージョナルサービスです。共有するプリンシパルは、リソースが作成された AWS リージョン のリソース共有にのみアクセスできます。
リソースによっては、共有に関する特別な考慮事項と前提条件があります。詳細については、「[共有可能な AWS リソース](shareable.md)」を参照してください。
## 内でリソース共有を有効にする AWS Organizations
アカウントが によって管理されている場合 AWS Organizations、それを利用してリソースをより簡単に共有できます。組織の有無にかかわらず、ユーザーは個々のアカウントに共有できます。ただし、アカウントが組織内にある場合には、各アカウントを列挙しなくても、個々のアカウント、または組織内または OU 内のすべてのアカウントとの共有が可能です。
組織内でリソースを共有するには、まず AWS RAM コンソールまたは AWS Command Line Interface (AWS CLI) を使用して共有を有効にする必要があります AWS Organizations。組織内のリソースを共有する場合、 AWS RAM はプリンシパルに招待を送信しません。組織内のプリンシパルは、招待状を交換せずに共有リソースにアクセスできます。
組織内でリソース共有を有効にすると、 は というサービスにリンクされたロール AWS RAM を作成します`AWSServiceRoleForResourceAccessManager`。このロールは AWS RAM サービスのみが引き受けることができ、 AWS 管理ポリシー を使用して、自分が所属する組織に関する情報を取得する AWS RAM アクセス許可を付与します`AWSResourceAccessManagerServiceRolePolicy`。
**注記**
デフォルトでは、 との共有を有効にすると AWS Organizations、組織内のリソース共有によって、同じ組織内のコンシューマーへのアクセスが制限されます。コンシューマーアカウントが組織を離れると、そのアカウントはリソース共有内のリソースにアクセスできなくなります。この制限は、リソースを OU、組織全体、または組織内の個々のアカウントと共有する場合に適用されます。
組織内でのaccount-to-account共有の場合、新しいリソース共有を作成するときに `RetainSharingOnAccountLeaveOrganization`を に設定することで、アカウントが離れ`True`ても共有アクセスを保持できます。この設定を有効にすると、 は消費アカウントへの招待 AWS RAM を送信します (外部アカウントとの共有と同様)。アカウントは、組織を離れても共有リソースへのアクセスを保持します。
`RetainSharingOnAccountLeaveOrganization` 設定には、次の要件と制限があります。
は `allowExternalPrincipals`である必要があります `True`
新しいリソース共有を作成する場合にのみ設定できます
OUs または組織全体との共有には適用されません
`RetainSharingOnAccountLeaveOrganization` が に設定されている場合`True`、リソース共有を使用して[、組織内でのみ共有できる](shareable.html)リソースを共有することはできません。
組織全体または OU とリソースを共有する必要がなくなった場合は、リソース共有を無効にすることができます。詳細については、「[とのリソース共有の無効化 AWS Organizations](security-disable-sharing-with-orgs.md)」を参照してください。
**最小アクセス許可**
以下の処理を実行するには、次のアクセス許可を持つ組織の管理アカウントのプリンシパルでサインインする必要があります。
+ `ram:EnableSharingWithAwsOrganization`
+ `iam:CreateServiceLinkedRole`
+ `organizations:enableAWSServiceAccess`
+ `organizations:DescribeOrganization`
**要件**
+ これらの手順は、組織の管理アカウントのプリンシパルとしてサインインしている場合のみ実行できます。
+ その組織で、すべての機能が有効になっている必要があります。詳細については、「**AWS Organizations ユーザーガイド」の「[組織内のすべての機能の有効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)」を参照してください。
**重要**
AWS RAM コンソールまたは enable-sharing-with-aws-organization コマンド AWS Organizations を使用して、 との共有を有効にする必要があります。 [enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) AWS CLI これにより、`AWSServiceRoleForResourceAccessManager` サービスにリンクされたロールが確実に作成されます。 AWS Organizations コンソールまたは [ enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html) AWS CLI コマンドを使用して AWS Organizations で信頼されたアクセスを有効にすると、`AWSServiceRoleForResourceAccessManager`サービスにリンクされたロールは作成されず、組織内でリソースを共有することはできません。
------
#### [ Console ]
**組織内でリソース共有を有効にするには**
1. AWS RAM コンソールで**[設定](https://console.aws.amazon.com/ram/home#Settings:)**ページを開きます。
1. **「共有を有効にする AWS Organizations**」を選択し、**「設定の保存**」を選択します。
------
#### [ AWS CLI ]
**組織内でリソース共有を有効にするには**
[enable-sharing-with-aws-organization](https://docs.aws.amazon.com/cli/latest/reference/ram/enable-sharing-with-aws-organization.html) コマンドを使用します。
このコマンドは任意の で使用でき AWS リージョン、 AWS RAM がサポートされている AWS Organizations すべてのリージョンで との共有を有効にします。
```
$ aws ram enable-sharing-with-aws-organization
{
"returnValue": true
}
```
------
## リソース共有を作成する
所有するリソースを共有するには、リソース共有を作成します。プロセスの概要を次に示します。
1. 共有するリソースを追加します。
1. 共有に含める各リソースタイプで、リソースタイプで使用する[管理アクセス許可](getting-started-terms-and-concepts.md#term-managed-permission)を指定します。
+ 使用可能な AWS 管理アクセス許可の 1 つ、既存のカスタマー管理アクセス許可から選択するか、新しいカスタマー管理アクセス許可を作成できます。
+ AWS マネージドアクセス許可は、標準のユースケースをカバーする AWS ために によって作成されます。
+ カスタマー管理アクセス許可を使用すると、セキュリティやビジネスニーズに合わせて独自の管理アクセス許可をカスタマイズできます。
**注記**
選択した管理アクセス許可に複数のバージョンがある場合、 AWS RAM は自動的にデフォルトバージョンをアタッチします。アタッチできるのは、デフォルトとして指定されているバージョン***のみ***です。
1. リソースにアクセスできるようにしたいプリンシパルを指定します。
**考慮事項**
+ 後で共有に含めた AWS リソースを削除する必要がある場合は、まずそのリソースを含むリソース共有から削除するか、リソース共有を削除することをお勧めします。
+ リソース共有に含めることができるリソースタイプの一覧は「[共有可能な AWS リソース](shareable.md)」で確認できます。
+ 共有できるのは自分が[所有する](getting-started-terms-and-concepts.md#term-sharing-account)リソースのみです。自分が共有先になっているリソースを共有リソースにすることはできません。
+ AWS RAM はリージョナルサービスです。リソースを他の AWS アカウント内のプリンシパルと共有する場合、プリンシパルはリソースが作成されたのと同じ AWS リージョン から各リソースにアクセスする必要があります。サポートされているグローバルリソースについては、そのリソースのサービスコンソールとツールで AWS リージョン サポートされている任意の からそれらのリソースにアクセスできます。このようなリソース共有とそのグローバルリソースは、指定されたホームリージョンである米国東部 (バージニア北部) `us-east-1` の AWS RAM コンソールとツールでのみ表示できます。 AWS RAM および グローバルリソースの詳細については、「」を参照してください[リージョナルリソースの共有とグローバルリソースの共有の比較](working-with-regional-vs-global.md)。
+ 共有元のアカウントが の組織の一部 AWS Organizations であり、組織内での共有が有効になっている場合、共有する組織内のプリンシパルには、招待を使用せずにリソース共有へのアクセスが自動的に付与されます。組織のコンテキスト外で共有するアカウントのプリンシパルは、リソース共有に参加するための招待を受け取り、招待を受け入れた後でのみ、共有リソースへのアクセス権が付与されます。
+ サービスプリンシパルと共有する場合、他のプリンシパルをリソース共有に関連付けることはできません。
+ 組織の一部であるアカウントまたはプリンシパル間で共有する場合、組織のメンバーシップを変更すると、リソース共有へのアクセスに動的に影響します。
+ リソース共有にアクセスできる AWS アカウント を組織または OU に追加すると、その新しいメンバーアカウントは自動的にリソース共有にアクセスします。その後、共有先のアカウント管理者は、アカウント内の個々のプリンシパルに、共有内のリソースへのアクセス権を付与できます。
+ 組織またはリソース共有へのアクセス権を持つ OU からアカウントを削除する場合、そのアカウントのすべてのプリンシパルは、リソース共有からアクセス可能なリソースへのアクセス許可を自動的に失います。
+ メンバーアカウント、またはメンバーアカウントの IAM ロールまたはユーザーと直接共有し、そのアカウントを組織から削除する場合、そのアカウントのすべてのプリンシパルは、そのリソース共有からアクセス可能なリソースへのアクセス許可を失います。
**重要**
組織または OU と共有し、スコープにリソース共有を所有するアカウントが含まれる場合、共有アカウントのすべてのプリンシパルは、共有内のリソースに自動的にアクセスできるようになります。付与されるアクセスは、共有に関連付けられている管理アクセス許可によって定義されます。これは、共有内の各リソースにア AWS RAM タッチするリソースベースのポリシーが を使用するためです`"Principal": "*"`。詳細については、「["Principal": "\$1" をリソースベースのポリシーで使用することの影響](getting-started-terms-and-concepts.md#term-principal-star)」を参照してください。
他のコンシューマーアカウントのプリンシパルは、共有のリソースにすぐにはアクセスできません。他のアカウントの管理者は、まず ID ベースのアクセス許可ポリシーを適切なプリンシパルにアタッチする必要があります。これらのポリシーは、リソース共有内の個々のリソース ARN への `Allow` アクセスを付与する必要があります。これらのポリシーのアクセス許可は、リソース共有に関連付けられた管理アクセス許可で指定されているアクセス許可を超えることはできません。
+ リソース共有に追加できるのは、アカウントがメンバーとして所属する組織とその組織の OU のみです。組織の外部から OU または組織をプリンシパルとしてリソース共有に追加することはできません。ただし、個別に AWS アカウント 追加することも、サポートされているサービスの場合は、IAM ロールと組織外のユーザーをプリンシパルとしてリソース共有に追加することもできます。
**注記**
すべてのリソースタイプを IAM ロールやユーザーと共有できるわけではありません。これらのプリンシパルと共有できるリソースの詳細については、「[共有可能な AWS リソース](shareable.md)」を参照してください。
+ 次のリソースタイプについては、7 日以内に共有への招待を受け入れる必要があります。7 日以内に招待を受け入れない場合、招待は期限切れになり、自動的に辞退したことになります。
**重要**
以下のリストに**含まれていない**共有リソースタイプについては、**12 時間**以内にリソース共有への招待を受け入れる必要があります。12 時間が経過すると、招待は期限切れになり、リソース共有のエンドユーザープリンシパルとの関連付けが解除されます。エンドユーザーは招待を受け入れることができなくなります。
+ Amazon Aurora – DB クラスター
+ Amazon EC2 — キャパシティ予約と専有ホスト
+ AWS License Manager – ライセンス設定
+ AWS Outposts – ローカルゲートウェイルートテーブル、アウトポスト、サイト
+ Amazon Route 53 – 転送ルール
+ Amazon VPC — カスタマーが所有する IPv4 アドレス、プレフィックスリスト、サブネット、トラフィックミラーターゲット、トランジットゲートウェイ、トランジットゲートウェイマルチキャストドメイン
------
#### [ Console ]
**リソース共有を作成するには**
1. [AWS RAM コンソール](https://console.aws.amazon.com/ram/home) を開きます。
1. AWS RAM リソース共有は特定の に存在するため AWS リージョン、コンソールの右上隅 AWS リージョン にあるドロップダウンリストから適切な を選択します。グローバルリソースを含むリソース共有を表示するには、 AWS リージョン を米国東部 (バージニア北部)、 () に設定する必要があります`us-east-1`。グローバルリソース共有の詳細については、「[リージョナルリソースの共有とグローバルリソースの共有の比較](working-with-regional-vs-global.md)」を参照してください。リソース共有にグローバルリソースを含める場合は、指定されたホームリージョンである米国東部 (バージニア北部) `us-east-1` を選択する必要があります。
1. を初めて使用する場合は AWS RAM、ホームページから**リソース共有を作成する**を選択します。それ以外の場合、**[[Shared by me : Resource shares]](https://console.aws.amazon.com/ram/home#OwnedResourceShares:)** (自分が共有: リソース共有) から **[Create resource share**] (リソース共有の作成) を選択します。
1. **[Step 1: Specify resource share details]** (ステップ 1: リソース共有の詳細を指定する) で、以下の手順に従います。
1. **[Name]** (名前) に、リソース共有のわかりやすい名前を入力します。
1. **[Resources]** (リソース) で、リソース共有に追加するリソースを以下のように選択します。
+ **[Select resource type]** (ターゲットリソースの選択) で、共有するリソースのタイプを選択します。そうすることで、共有可能なリソースのリストが、選択したタイプのリソースのみに絞り込まれます。
+ 結果のリソースリストで、共有したい個々のリソースの横にあるチェックボックスをオンにします。選択したリソースが **[Selected resources]** (選択済みリソース) に移動します。
特定のアベイラビリティゾーンに関連付けられているリソースを共有する場合、アベイラビリティゾーン ID (AZ ID) を使用すると、アカウント間でこれらのリソースの場所を判別するのに役立ちます。詳細については、「[AWS リソースのアベイラビリティーゾーン ID](working-with-az-ids.md)」を参照してください。
1. (オプション) [タグをアタッチする](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html)には、**[Tags]** (タグ) にタグのキーと値を入力します。**[Add new tag]** (新しいタグを追加) を選択して、他のユーザーを追加します。この手順を必要なだけ繰り返します。これらのタグは、リソース共有内のリソースには適用されず、リソース共有自体にのみ適用されます。
1. [**次へ**] を選択します。
1. **ステップ 2: 管理アクセス許可を各リソースタイプに関連付ける**には、 によって作成された管理アクセス許可 AWS をリソースタイプに関連付けるか、既存のカスタマー管理アクセス許可を選択するか、サポートされているリソースタイプに対して独自のカスタマー管理アクセス許可を作成できます。詳細については、「[管理アクセス許可のタイプ](security-ram-permissions.md#permissions-types)」を参照してください。
**[カスタマー管理アクセス許可の作成]** を選択して、共有ユースケースの要件を満たすカスタマー管理アクセス許可を作成します。詳細については、「[カスタマー管理アクセス許可を作成する](create-customer-managed-permissions.md#create_cmp)」を参照してください。プロセスが完了したら ![\[Refresh icon\]](http://docs.aws.amazon.com/ja_jp/ram/latest/userguide/images/refresh_icon.PNG) を選択し、**[管理アクセス許可]** ドロップダウンリストから新しいカスタマー管理アクセス許可を選択します。
**注記**
選択した管理アクセス許可に複数のバージョンがある場合、 AWS RAM はデフォルトバージョンを自動的にアタッチします。デフォルトとして指定されたバージョン***のみ***をアタッチできます。
管理アタッチで許可されているアクションを表示するには、**[この管理アタッチのポリシーテンプレートを表示]** を展開します。
1. [**次へ**] を選択します。
1. 「**手順 3: プリンシパルにアクセス権限を付与する**」で、以下を行います。
1. デフォルトでは、**誰とでも共有を許可する**が選択されます。つまり、それをサポートするリソースタイプでは、組織外の AWS アカウント とリソースを共有できます。これは、Amazon VPC サブネットなど、組織内*のみ*で共有できるリソースタイプには影響しません。[サポートされているリソースタイプ](shareable.md)の一部は、IAM ロールおよびユーザーと共有できます。
組織内のプリンシパルのみにリソース共有を制限するには、**[自分の組織内でのみ共有を許可]** を選択します。
1. **[Principals]** (プリンシパル) について、以下の操作をします。
+ 組織、組織単位 (OU)、または組織の一部 AWS アカウント である を追加するには、**組織構造の表示**をオンにします。そうすると組織図が表示されます。次いで、追加したい各プリンシパルの横にあるチェックボックスをオンにします。
**重要**
組織または OU と共有し、スコープにリソース共有を所有するアカウントが含まれる場合、共有アカウントのすべてのプリンシパルは、共有内のリソースに自動的にアクセスできるようになります。付与されるアクセスは、共有に関連付けられている管理アクセス許可によって定義されます。これは、共有内の各リソースにア AWS RAM タッチするリソースベースのポリシーが を使用するためです`"Principal": "*"`。詳細については、「["Principal": "\$1" をリソースベースのポリシーで使用することの影響](getting-started-terms-and-concepts.md#term-principal-star)」を参照してください。
他のコンシューマーアカウントのプリンシパルは、共有のリソースにすぐにはアクセスできません。他のアカウントの管理者は、まず ID ベースのアクセス許可ポリシーを適切なプリンシパルにアタッチする必要があります。これらのポリシーは、リソース共有内の個々のリソース ARN への `Allow` アクセスを付与する必要があります。これらのポリシーのアクセス許可は、リソース共有に関連付けられた管理アクセス許可で指定されているアクセス許可を超えることはできません。
+ 組織 (`o-` で始まる ID) を選択した場合、組織内のすべての AWS アカウント のプリンシパルがリソース共有にアクセスできます。
+ OU (`ou-` で始まる ID) を選択した場合、OU 内とその子 OU 内のすべての AWS アカウント のプリンシパルがリソース共有にアクセスできます。
+ 個人を選択した場合 AWS アカウント、そのアカウントのプリンシパルのみがリソース共有にアクセスできます。
**注記**
**[Display organizational structure]** (組織構造の表示) トグルが表示されるのは、 AWS Organizations とのが有効になっていて、組織の管理アカウントにサインインしているときのみです。
この方法で組織外の AWS アカウント または IAM ロール/ユーザーを指定することはできません。代わりに、**[組織構造を表示]** を無効にし、ドロップダウンリストとテキストボックスを使用して ID または ARN を入力します。
+ 組織外のプリンシパルを含む ID または ARN でプリンシパルを指定するには、プリンシパルごとにプリンシパルタイプを選択します。次に、ID (、組織 AWS アカウント、または OU の場合) または ARN (IAM ロールまたはユーザーの場合) を入力し、**追加**を選択します。使用可能なプリンシパルタイプと ID および ARN 形式は以下のとおりです。
+ **AWS アカウント** – を追加するには AWS アカウント、12 桁のアカウント ID を入力します。例えば、次のようになります。
`123456789012`
+ **組織** – 組織 AWS アカウント 内のすべての を追加するには、組織の ID を入力します。例えば、次のようになります。
`o-abcd1234`
+ **[Organizational unit (OU)]** (部門単位 (OU)) — OU を追加するには、OU の ID を入力します。例:
`ou-abcd-1234efgh`
+ **[IAM role]** (IAM ロール) — IAM ロールを追加するには、ロールの ARN を入力します。次の構文を使用します。
`arn:partition:iam::account:role/role-name`
例えば、次のようになります。
`arn:aws:iam::123456789012:role/MyS3AccessRole`
**注記**
IAM ロールの一意の ARN を取得するには、[IAM コンソールでロールのリストを表示し](https://console.aws.amazon.com/iamv2/home?#/roles)、[get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) AWS CLI コマンドまたは [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) API アクションを使用します。
+ **[IAM user]** (IAM ユーザー) — IAM ユーザーを追加するには、ユーザーの ARN を入力します。次の構文を使用します。
`arn:partition:iam::account:user/user-name`
例えば、次のようになります。
`arn:aws:iam::123456789012:user/bob`
**注記**
IAM ユーザーの一意の ARN を取得するには、[IAM コンソールでユーザーのリストを表示し](https://console.aws.amazon.com/iamv2/home?#/users)、 [https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html) AWS CLI コマンドまたは [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) API アクションを使用します。
+ **サービスプリンシパル** — サービスプリンシパルを追加するには、**[プリンシパルタイプの選択]** ドロップボックスで **[サービスプリンシパル]** を選択します。 AWS サービスプリンシパル名を入力します。次の構文を使用します。
+ `service-id.amazonaws.com`
例えば、次のようになります。
`pca-connector-ad.amazonaws.com`
1. **[Selected principals]** (選択されたプリンシパル) について、指定したプリンシパルがリストに入っていることを確認します。
1. [**次へ**] を選択します。
1. **[Step 4: Review and create]** (ステップ 4: 確認して作成する) で、リソース共有に関する設定の詳細を見直します。任意のステップについて設定を変更するには、戻りたいステップに対応するリンクを選択して必要なだけ変更を加えます。
1. リソース共有を確認し終わった、**[Create resource share]** (リソース共有の作成) を選択します。
リソースとプリンシパルの関連付けが完了するまでに数分かかることがあります。リソース共有を使用する前にこのプロセスを完了させてください。
1. リソースとプリンシパルの追加および削除、リソース共有へのカスタムタグの適用はいつでもできます。リソース共有に含まれるリソースタイプのうち、デフォルトの管理アクセス許可以外をサポートするタイプについては、管理アクセス許可を変更できます。リソースを共有する必要がなくなったら、リソース共有を削除できます。詳細については、「[所有する AWS リソースの共有](working-with-sharing.md)」を参照してください。
------
#### [ AWS CLI ]
**リソース共有を作成するには**
[https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) コマンドを使用します。次のコマンドは、組織 AWS アカウント 内のすべての と共有されるリソース共有を作成します。共有には AWS License Manager ライセンス設定が含まれており、そのリソースタイプのデフォルトの管理アクセス許可を付与します。
**注記**
このリソース共有のリソースタイプでカスタマー管理アクセス許可を使用する場合は、既存のカスタマー管理アクセス許可を使用するか、新しいカスタマー管理アクセス許可を作成します。カスタマー管理アクセス許可の ARN をメモし、リソース共有を作成します。詳細については、「[カスタマー管理アクセス許可を作成する](create-customer-managed-permissions.md#create_cmp)」を参照してください。
```
$ aws ram create-resource-share \
--region us-east-1 \
--name MyLicenseConfigShare \
--permission-arns arn:aws:ram::aws:permission/AWSRAMDefaultPermissionLicenseConfiguration \
--resource-arns arn:aws:license-manager:us-east-1:123456789012:license-configuration:lic-abc123 \
--principals arn:aws:organizations::123456789012:organization/o-1234abcd
{
"resourceShare": {
"resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/12345678-abcd-09876543",
"name": "MyLicenseConfigShare",
"owningAccountId": "123456789012",
"allowExternalPrincipals": true,
"status": "ACTIVE",
"creationTime": "2021-09-14T20:42:40.266000-07:00",
"lastUpdatedTime": "2021-09-14T20:42:40.266000-07:00"
}
}
```
------