とは AWS Resource Access Manager - AWS Resource Access Manager
ビデオの概要の利点 AWS RAMリソース共有のしくみアクセス AWS RAMの料金 AWS RAMコンプライアンスと国際規格

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

とは AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) は AWS アカウント、サポートされているリソースタイプの AWS Identity and Access Management (IAM) ロールとユーザー間で、組織または組織単位 (OUs) 内で、リソースを安全に共有するのに役立ちます。複数の がある場合は AWS アカウント、リソースを 1 回作成し、 を使用してそのリソース AWS RAM を他のアカウントで使用できるようにすることができます。アカウントが によって管理されている場合 AWS Organizations、組織内の他のすべてのアカウント、または 1 つ以上の指定された組織単位 (OUs) に含まれるアカウントとのみリソースを共有できます。アカウントが組織の一部であるかどうかにかかわらず、アカウント ID AWS アカウント ごとに特定の と共有することもできます。サポートされているリソースタイプによっては、指定した IAM ロールやユーザーと共有することもできます。

ビデオの概要

次の動画では、 の概要 AWS RAM とリソース共有の作成方法について説明します。詳細については、「でのリソース共有の作成 AWS RAM」を参照してください。

次の動画では、 AWS リソースに AWS 管理アクセス許可を適用する方法を示します。詳細については、「でのアクセス許可の管理 AWS RAM」を参照してください。

このビデオでは、最小特権のベストプラクティスに従って、カスタマー管理アクセス許可の作成および関連付けを行う方法について説明します。詳細については、「」を参照してくださいでのカスタマー管理アクセス許可の作成と使用 AWS RAM

の利点 AWS RAM

を使用する理由 AWS RAM以下のような利点があります。

  • 運用オーバーヘッドを削減 – リソースを 1 回作成し、 を使用してそのリソースを他のアカウントと共有します。 AWS RAM これにより、複製したリソースをすべてのアカウントにプロビジョニングする必要がなくなるため、運用のオーバーヘッドが減少します。リソースを所有するアカウント内で、 はアイデンティティベースのアクセス許可ポリシーを使用せずに、そのアカウントのすべてのロールとユーザーにアクセス許可を付与する AWS RAM 作業を簡素化します。

  • [Provides security and consistency] (セキュリティと一貫性を確保) - 単一のポリシーとアクセス許可セットを使用して、共有リソースのセキュリティ管理を簡素化します。代わりに、個別のすべてのアカウントに重複リソースを作成しようとする場合、同じポリシーとアクセス許可を実装するタスクがあり、それらのアカウント全体で同じリソースを維持する必要があります。代わりに、 AWS RAM リソース共有のすべてのユーザーは、単一のポリシーとアクセス許可のセットによって管理されます。 は、さまざまなタイプの AWS リソースを共有するための一貫したエクスペリエンス AWS RAM を提供します。

  • 可視性と監査可能性を提供 – AWS RAM と Amazon CloudWatch の統合を通じて、共有リソースの使用状況の詳細を表示します AWS CloudTrail。 AWS RAM は、共有リソースとアカウントを包括的に可視化します。

リソースベースのポリシーによるクロスアカウントアクセス

の外部で AWS Identity and Access Management (IAM) プリンシパル (IAM ロールとユーザー) を識別するリソースベースのポリシーをアタッチ AWS アカウント することで、一部のタイプの AWS リソースを他の と共有できます AWS アカウント。ただし、ポリシーをアタッチしてリソースを共有しても、 AWS RAM が提供する追加の利点は活用されません。を使用すると、次の機能 AWS RAM を利用できます。

  • すべての AWS アカウント IDs を列挙しなくても、組織または組織単位 (OU) と共有できます。

  • ユーザーからは、共有されたリソースを発信元の AWS のサービス コンソールや API オペレーションで、あたかもそのリソースがユーザーのアカウント内に直接存在するかのように見えます。例えば、 AWS RAM を使用して Amazon VPC サブネットを別の アカウントと共有する場合、そのアカウントのユーザーは、Amazon VPC コンソールと、そのアカウントで実行された Amazon VPC API オペレーションの結果でサブネットを表示できます。リソースベースのポリシーをアタッチして共有されたリソースはこのように表示されることはなく、代わりに Amazon リソースネーム (ARN) によってリソースを検出して明示的に参照する必要があります。

  • リソースの所有者は、共有した個々のリソースにアクセスできるプリンシパルを確認できます。

  • 組織の一部ではないアカウントとリソースを共有すると、 は招待プロセス AWS RAM を開始します。プリンシパルが共有リソースにアクセスできるようにするには、受信者は招待を受け入れる必要があります。組織内での共有機能を有効にすると、組織内のアカウントと共有する際に招待を受ける必要がなくなります。

リソースベースのアクセス許可ポリシーを使用して共有したリソースがある場合は、次のいずれかを実行して、それらのリソースをフル AWS RAM マネージドリソースに昇格させることができます。

リソース共有のしくみ

所有アカウントのリソースを別の AWS アカウント消費アカウントと共有する場合、消費アカウントのプリンシパルに共有リソースへのアクセスを付与します。コンシューマーアカウントのロールとユーザーに適用されるすべてのポリシーとアクセス許可は、共有リソースにも適用されます。共有内のリソースは、 AWS アカウント 共有した のネイティブリソースのように見えます。

グローバルリソースとリージョナルリソースの両方を共有できます。詳細については、「リージョナルリソースの共有とグローバルリソースの共有の比較」を参照してください。

リソースの共有

では AWS RAM、リソース共有を作成して、所有しているリソースを共有します。リソース共有を作成するには、以下を指定します。

  • リソース共有を作成する AWS リージョン 。コンソールの右上隅にある [リージョン] ドロップダウンメニューで選択します。では AWS CLI、 --regionパラメータを使用します。

    • リソース共有には、そのリソース共有と同じ AWS リージョン にあるリージョナルリソースのみを含めることができます。

    • リソース共有にグローバルリソースを含めることができるのは、そのリソース共有がグローバルリソースのホームである米国東部 (バージニア北部) us-east-1 にある場合のみです。

  • リソース共有の名前。

  • このリソース共有の一部としてアクセス権を付与したいリソースのリスト。

  • リソース共有へのアクセス権の付与先になるプリンシパル。プリンシパルは、個人 AWS アカウント、組織内のアカウント、組織の組織単位 (OU) AWS Organizations、または個人 AWS Identity and Access Management (IAM) のロールまたはユーザーです。

    注記

    すべてのリソースタイプを IAM ロールやユーザーと共有できるわけではありません。これらのプリンシパルと共有できるリソースの詳細については、「共有可能な AWS リソース」を参照してください。

  • リソース共有に含まれるリソースタイプごとに、1 つの管理アクセス許可のみを関連付けることができます。他のアカウントのプリンシパルがリソース共有のリソースで実行できる操作は、管理アクセス許可によって決まります。

    アクセス許可の動作はプリンシパルのタイプによって異なります。

    • プリンシパルがリソースを所有しているアカウントとは別のアカウントに属している場合、リソース共有にアタッチされたアクセス許可が、それらのアカウントのロールとユーザーに付与できる最大のアクセス許可になります。その後、それらのアカウントの管理者は、IAM ID ベースのポリシーを使用して、個々のロールとユーザーに共有リソースへのアクセス権を付与する必要があります。これらのポリシーで付与されるアクセス許可は、リソース共有にアタッチされたアクセス許可で定義されているアクセス許可を超えることはできません。

リソース所有アカウントは、共有するリソースの完全な所有権を保持します。

共有リソースの使用

リソースの所有者がそのリソースをアカウントと共有している場合、ユーザーは、自分のアカウントが所有している場合と同じように、共有リソースにアクセスできます。リソースにアクセスするには、関連するサービスのコンソール、 AWS CLI コマンド、および API オペレーションを使用します。自分のアカウント内のプリンシパルが実行できる API オペレーションは、リソースのタイプによって異なり、リソース共有に付いている AWS RAM アクセス許可によって指定されます。アカウントで設定されているすべての IAM ポリシーとサービスコントロールポリシーも継続的に適用されます。これにより、セキュリティとガバナンスのコントロールに対する既存の投資を活用できます。

そのリソースのサービスを使用して共有リソースにアクセスする場合、そのリソースを所有 AWS アカウント する と同じ機能と制限があります。

  • リージョナルリソースの場合は、そのリソースを所有しているアカウント内の AWS リージョン からのみアクセスできます。

  • グローバルリソースの場合は、そのリソースのサービスコンソールとツールがサポートするすべての AWS リージョン からアクセスできます。リソース共有とそのグローバルリソースは、指定されたホームリージョン、米国東部 (バージニア北部)、 でのみ、 AWS RAM コンソールとツールで表示および管理できますus-east-1

アクセス AWS RAM

は、次のいずれか AWS RAM の方法で操作できます。

AWS RAM コンソール

AWS RAM は、ウェブベースのユーザーインターフェイスである AWS RAM コンソールを提供します。にサインアップしている場合は AWS アカウント、 にサインインAWS Management Consoleし、 AWS RAM コンソールのホームページ AWS RAM から を選択することで、 コンソールにアクセスできます。

また、ブラウザでAWS RAM コンソールに直接移動することもできます。まだサインインしていない場合、コンソールが表示される前にログインするように求められます。

AWS CLI および Tools for Windows PowerShell

AWS CLI および AWS Tools for PowerShell は、 AWS RAM パブリック API オペレーションへの直接アクセスを提供します。 はWindows、、macOS、および でこれらのツール AWS をサポートしていますLinux。使用開始方法の詳細については、「AWS Command Line Interface ユーザーガイド」または「AWS Tools for Windows PowerShell ユーザーガイド」を参照してください。のコマンドの詳細については AWS RAM、AWS CLI 「 コマンドリファレンス」またはAWS Tools for Windows PowerShell 「 コマンドレットリファレンス」を参照してください。

AWS SDKs

AWS には、さまざまなプログラミング言語の API コマンドが用意されています。開始方法の詳細については、「AWS SDK とツールのリファレンスガイド」を参照してください。

Query API

サポートされているプログラミング言語のいずれかを使用しない場合、 AWS RAM HTTPS クエリ API は AWS RAM と へのプログラムによるアクセスを提供します AWS。 AWS RAM API を使用すると、HTTPS リクエストを サービスに直接発行できます。 AWS RAM API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。詳細については、「 APIリファレンスAWS RAM」を参照してください。

の料金 AWS RAM

AWS RAM または を使用してリソース共有を作成し、アカウント間でリソースを共有しても、追加料金はかかりません。リソースの利用料金はリソースのタイプによって異なります。が共有可能なリソースに AWS 請求する方法の詳細については、リソース所有サービスのドキュメントを参照してください。

コンプライアンスと国際規格

PCI DSS

AWS RAM は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、保存、および送信をサポートし、Payment Card Industry (PCI) Data Security Standard (DSS) に準拠していることが検証されています。

PCI DSS の詳細 ( AWS PCI コンプライアンスパッケージ のコピーをリクエストする方法など) については「PCI DSS レベル 1」を参照してください。

FedRAMP

AWS RAM は、米国東部 (バージニア北部)、 AWS リージョン米国東部 (オハイオ)、米国西部 (北カリフォルニア)、米国西部 (オレゴン) で FedRAMP Moderate として承認されています。

AWS RAM は、 AWS GovCloud (米国西部) と AWS GovCloud (米国東部) AWS リージョンで FedRAMP High として承認されています。

Federal Risk and Authorization Management Program (FedRAMP) は米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認可、および継続的なモニタリングに関する標準アプローチを提供しています。

FedRAMP コンプライアンスの詳細については、「FedRAMP」を参照してください。

SOC および ISO

AWS RAM は、Service Organization Control (SOC) コンプライアンスおよび国際標準化機構 (ISO) ISO 9001、ISO 27001、ISO 27017、ISO 27018、および ISO 27701 標準の対象となるワークロードに使用できます。金融、ヘルスケア、その他の規制分野のお客様は、AWS Artifact の SOC レポート、 AWS ISO、CSA STAR 証明書で確認できる、顧客データを保護するセキュリティプロセスやコントロールに関するインサイトを得ることができます。

SOC コンプライアンスの詳細については、「SOC」を参照してください。

ISO コンプライアンスの詳細については、「ISO 9001」、「ISO 27001」、「ISO 27017」、「ISO 27018」、および 「ISO 27701」を参照してください。