翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# とは AWS Resource Access Manager
<a name="what-is"></a>

AWS Resource Access Manager (AWS RAM) を使用すると AWS アカウント、サポートされているリソースタイプの AWS Identity and Access Management (IAM) ロールとユーザー間で、組織または組織単位 (OUs) 内で、リソースを安全に共有できます。複数の がある場合は AWS アカウント、リソースを 1 回作成し、 を使用してそのリソース AWS RAM を他のアカウントで使用できるようにすることができます。アカウントが によって管理されている場合 AWS Organizations、組織内の他のすべてのアカウント、または 1 つ以上の指定された組織単位 (OUs) に含まれるアカウントのみとリソースを共有できます。アカウントが組織の一部であるかどうかにかかわらず、アカウント ID AWS アカウント ごとに特定の と共有することもできます。[サポートされているリソースタイプ](shareable.md)によっては、指定した IAM ロールやユーザーと共有することもできます。

**Topics**
+ [ビデオの概要](#video-intros)
+ [の利点 AWS RAM](#what-is-features)
+ [リソース共有のしくみ](#what-is-how)
+ [アクセス AWS RAM](#what-is-accessing)
+ [の料金 AWS RAM](#what-is-pricing)
+ [コンプライアンスと国際規格](#certification)

## ビデオの概要
<a name="video-intros"></a>

次の動画では、 の概要 AWS RAM とリソース共有の作成方法について説明します。詳細については、「[でのリソース共有の作成 AWS RAM](working-with-sharing-create.md)」を参照してください。




次の動画は、 AWS リソースに AWS マネージドアクセス許可を適用する方法を示しています。詳細については、「[でのアクセス許可の管理AWS RAM](security-ram-permissions.md)」を参照してください。




このビデオでは、最小特権のベストプラクティスに従って、カスタマー管理アクセス許可の作成および関連付けを行う方法について説明します。詳細については、[でのカスタマー管理アクセス許可の作成と使用 AWS RAM](create-customer-managed-permissions.md) を参照してください。

[![AWS Videos](http://img.youtube.com/vi/SQoJOuIDLKM/0.jpg)](http://www.youtube.com/watch?v=SQoJOuIDLKM)


## の利点 AWS RAM
<a name="what-is-features"></a>

を使用する理由 AWS RAM以下のような利点があります。
+ **運用オーバーヘッドを削減 – リソースを 1 回作成し、 を使用してそのリソースを他のアカウントと共有します**。 AWS RAM これにより、複製したリソースをすべてのアカウントにプロビジョニングする必要がなくなるため、運用のオーバーヘッドが減少します。リソースを所有するアカウント内で、 はアイデンティティベースのアクセス許可ポリシーを使用せずに、そのアカウントのすべてのロールとユーザーへのアクセス許可の付与 AWS RAM を簡素化します。
+ **[Provides security and consistency]** (セキュリティと一貫性を確保) - 単一のポリシーとアクセス許可セットを使用して、共有リソースのセキュリティ管理を簡素化します。代わりに、個別のすべてのアカウントに重複リソースを作成しようとする場合、同じポリシーとアクセス許可を実装するタスクがあり、それらのアカウント全体で同じリソースを維持する必要があります。代わりに、 AWS RAM リソース共有のすべてのユーザーは、単一のポリシーとアクセス許可のセットによって管理されます。 は、さまざまなタイプの AWS リソースを共有するための一貫したエクスペリエンス AWS RAM を提供します。
+ **可視性と監査可能性を提供** – AWS RAM と Amazon CloudWatch の統合を通じて、共有リソースの使用状況の詳細を表示します AWS CloudTrail。 AWS RAM は、共有リソースとアカウントを包括的に可視化します。

### リソースベースのポリシーによるクロスアカウントアクセス
<a name="what-is-about-res-pol-sharing"></a>

の外部で AWS Identity and Access Management (IAM) プリンシパル (IAM ロールとユーザー) を識別する[リソースベースのポリシー](getting-started-terms-and-concepts.md#term-resource-based-policy)をアタッチ AWS アカウント することで、一部のタイプの AWS リソースを他の と共有できます AWS アカウント。ただし、ポリシーをアタッチしてリソースを共有しても、 AWS RAM が提供する追加の利点は活用されません。を使用すると、次の機能 AWS RAM を利用できます。
+ すべての AWS アカウント IDs を列挙しなくても[、組織または組織単位 (OU)](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) と共有できます。
+ ユーザーからは、共有されたリソースを発信元の AWS のサービス コンソールや API オペレーションで、あたかもそのリソースがユーザーのアカウント内に直接存在するかのように見えます。例えば、 を使用して Amazon VPC サブネット AWS RAM を別のアカウントと共有する場合、そのアカウントのユーザーは Amazon VPC コンソールでサブネットを表示し、そのアカウントで実行された Amazon VPC API オペレーションの結果を確認できます。リソースベースのポリシーをアタッチして共有されたリソースはこのように表示されることはなく、代わりに Amazon リソースネーム (ARN) によってリソースを検出して明示的に参照する必要があります。
+ リソースの所有者は、共有した個々のリソースにアクセスできるプリンシパルを確認できます。
+ 組織に含まれていないアカウントとリソースを共有すると、 は招待プロセス AWS RAM を開始します。プリンシパルが共有リソースにアクセスできるようにするには、受信者は招待を受け入れる必要があります。[組織内での共有機能を有効にすると](getting-started-sharing.md#getting-started-sharing-orgs)、組織内のアカウントと共有する際に招待を受ける必要がなくなります。

リソースベースのアクセス許可ポリシーを使用して共有したリソースがある場合は、次のいずれかを実行して、それらのリソースをフル AWS RAM マネージドリソースに昇格させることができます。
+ [https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html) API オペレーションを使用します。
+ API オペレーションと同等の ( AWS Command Line Interface AWS CLI) [https://docs.aws.amazon.com/cli/latest/reference/ram/promote-resource-share-created-from-policy.html](https://docs.aws.amazon.com/cli/latest/reference/ram/promote-resource-share-created-from-policy.html) コマンドを使用します。

## リソース共有のしくみ
<a name="what-is-how"></a>

*所有アカウントの*リソースを別の AWS アカウント*消費アカウント*と共有する場合、消費アカウントのプリンシパルに共有リソースへのアクセスを付与します。コンシューマーアカウントのロールとユーザーに適用されるすべてのポリシーとアクセス許可は、共有リソースにも適用されます。共有内のリソースは、 AWS アカウント 共有した のネイティブリソースのようになります。

グローバルリソースとリージョナルリソースの両方を共有できます。詳細については、「[リージョナルリソースの共有とグローバルリソースの共有の比較](working-with-regional-vs-global.md)」を参照してください。

### リソースの共有
<a name="what-is-how-sharing"></a>

では AWS RAM、リソース共有を作成して、所有している[*リソースを共有*](getting-started-terms-and-concepts.md#term-resource-share)します。リソース共有を作成するには、以下を指定します。
+ リソース共有を作成する AWS リージョン 。コンソールの右上隅にある **[リージョン]** ドロップダウンメニューで選択します。では AWS CLI、 `--region`パラメータを使用します。
  + リソース共有には、そのリソース共有と同じ AWS リージョン にあるリージョナルリソースのみを含めることができます。
  + リソース共有にグローバルリソースを含めることができるのは、そのリソース共有がグローバルリソースのホームである米国東部 (バージニア北部) `us-east-1` にある場合のみです。
+ リソース共有の名前。
+ このリソース共有の一部としてアクセス権を付与したいリソースのリスト。
+ リソース共有へのアクセス権の付与先になるプリンシパル。プリンシパルは、個人 AWS アカウント、組織内のアカウント、組織の組織単位 (OU) AWS Organizations、または個人 AWS Identity and Access Management (IAM) ロールまたはユーザーです。
**注記**  
すべてのリソースタイプを IAM ロールやユーザーと共有できるわけではありません。これらのプリンシパルと共有できるリソースの詳細については、「[共有可能な AWS リソース](shareable.md)」を参照してください。
+ リソース共有に含まれるリソースタイプごとに、1 つの[管理アクセス許可](getting-started-terms-and-concepts.md#term-managed-permission)のみを関連付けることができます。他のアカウントのプリンシパルがリソース共有のリソースで実行できる操作は、管理アクセス許可によって決まります。

  アクセス許可の動作はプリンシパルのタイプによって異なります。
  + プリンシパルがリソースを所有しているアカウントとは別のアカウントに属している場合、リソース共有にアタッチされたアクセス許可が、それらのアカウントのロールとユーザーに付与できる最大のアクセス許可になります。その後、それらのアカウントの管理者は、IAM ID ベースのポリシーを使用して、個々のロールとユーザーに共有リソースへのアクセス権を付与する必要があります。これらのポリシーで付与されるアクセス許可は、リソース共有にアタッチされたアクセス許可で定義されているアクセス許可を超えることはできません。

リソース所有アカウントは、共有するリソースの完全な所有権を保持します。

### 共有リソースの使用
<a name="what-is-how-shared"></a>

リソースの所有者がそのリソースをアカウントと共有している場合、ユーザーは、自分のアカウントが所有している場合と同じように、共有リソースにアクセスできます。リソースにアクセスするには、関連するサービスのコンソール、 AWS CLI コマンド、および API オペレーションを使用します。自分のアカウント内のプリンシパルが実行できる API オペレーションは、リソースのタイプによって異なり、リソース共有に付いている AWS RAM アクセス許可によって指定されます。アカウントで設定されているすべての IAM ポリシーとサービスコントロールポリシーも継続的に適用されます。これにより、セキュリティとガバナンスのコントロールに対する既存の投資を活用できます。

そのリソースのサービスを使用して共有リソースにアクセスする場合、リソースを所有 AWS アカウント する と同じ機能と制限があります。
+ リージョナルリソースの場合は、そのリソースを所有しているアカウント内の AWS リージョン からのみアクセスできます。
+ グローバルリソースの場合は、そのリソースのサービスコンソールとツールがサポートするすべての AWS リージョン からアクセスできます。リソース共有とそのグローバルリソースは、指定されたホームリージョン、米国東部 (バージニア北部）、 の AWS RAM コンソールとツールでのみ表示および管理できます`us-east-1`。

## アクセス AWS RAM
<a name="what-is-accessing"></a>

は、次のいずれか AWS RAM の方法で操作できます。

**AWS RAM コンソール**  
AWS RAM は、ウェブベースのユーザーインターフェイスである AWS RAM コンソールを提供します。にサインアップしている場合は AWS アカウント、 にサインイン[AWS マネジメントコンソール](https://console.aws.amazon.com/)し、 AWS RAM コンソールのホームページ AWS RAM から を選択して、コンソールにアクセスできます。  
また、ブラウザで[AWS RAM コンソール](https://console.aws.amazon.com/ram/home)に直接移動することもできます。まだサインインしていない場合、コンソールが表示される前にログインするように求められます。

**AWS CLI および Tools for Windows PowerShell**  
 AWS CLI および AWS Tools for PowerShell は、 AWS RAM パブリック API オペレーションへの直接アクセスを提供します。 はWindows、、macOS、および でこれらのツール AWS をサポートしていますLinux。使用開始方法の詳細については、「[AWS Command Line Interface ユーザーガイド](https://docs.aws.amazon.com/cli/latest/userguide/)」または「[AWS Tools for Windows PowerShell ユーザーガイド](https://docs.aws.amazon.com/powershell/latest/userguide/)」を参照してください。のコマンドの詳細については AWS RAM、[AWS CLI 「 コマンドリファレンス](https://docs.aws.amazon.com/cli/latest/reference/)」または[AWS Tools for Windows PowerShell 「 コマンドレットリファレンス](https://docs.aws.amazon.com/powershell/latest/reference/)」を参照してください。

**AWS SDKs**  
AWS には、さまざまなプログラミング言語用の API コマンドが用意されています。開始方法の詳細については、「[AWS SDK とツールのリファレンスガイド](https://docs.aws.amazon.com/sdkref/latest/guide/)」を参照してください。

**Query API**  
サポートされているプログラミング言語のいずれかを使用しない場合、 AWS RAM HTTPS クエリ API は AWS RAM および へのプログラムによるアクセスを提供します AWS。 AWS RAM API を使用すると、HTTPS リクエストを サービスに直接発行できます。 AWS RAM API を使用する場合は、認証情報を使用してリクエストにデジタル署名するためのコードを含める必要があります。詳細については、「[ APIリファレンスAWS RAM](https://docs.aws.amazon.com/ram/latest/APIReference/Welcome.html)」を参照してください。

## の料金 AWS RAM
<a name="what-is-pricing"></a>

 AWS RAM または を使用してリソース共有を作成し、アカウント間でリソースを共有する場合、追加料金は発生しません。リソースの利用料金はリソースのタイプによって異なります。が共有可能なリソースに AWS 請求する方法の詳細については、リソースの所有サービスのドキュメントを参照してください。

## コンプライアンスと国際規格
<a name="certification"></a>

### PCI DSS
<a name="certification-pci-dss"></a>

AWS RAM は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、保存、および送信をサポートし、Payment Card Industry (PCI) Data Security Standard (DSS) に準拠していることが確認されています。

PCI DSS の詳細 ( AWS PCI コンプライアンスパッケージ のコピーをリクエストする方法など) については[「PCI DSS レベル 1」](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)を参照してください。

### FedRAMP
<a name="certification-fedramp"></a>

AWS RAM は、米国東部 (バージニア北部）、 AWS リージョン米国東部 (オハイオ）、米国西部 (北カリフォルニア）、米国西部 (オレゴン) で FedRAMP Moderate として承認されています。

AWS RAM は AWS GovCloud (米国西部) と AWS GovCloud (米国東部) AWS リージョンで FedRAMP High として承認されています。

Federal Risk and Authorization Management Program (FedRAMP) は米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認可、および継続的なモニタリングに関する標準アプローチを提供しています。

FedRAMP コンプライアンスの詳細については、「[FedRAMP](https://aws.amazon.com/compliance/fedramp-faqs/)」を参照してください。

### SOC および ISO
<a name="certification-soc"></a>

AWS RAM は、Service Organization Control (SOC) コンプライアンスと国際標準化機構 (ISO) ISO 9001、ISO 27001、ISO 27017、ISO 27018、および ISO 27701 標準の対象となるワークロードに使用できます。金融、ヘルスケア、その他の規制分野のお客様は、[AWS Artifact](https://aws.amazon.com/artifact) の SOC レポート、 AWS ISO、CSA STAR 証明書で確認できる、顧客データを保護するセキュリティプロセスやコントロールに関するインサイトを得ることができます。

SOC コンプライアンスの詳細については、「[SOC](https://aws.amazon.com/compliance/soc-faqs/)」を参照してください。

ISO コンプライアンスの詳細については、「[ISO 9001](https://aws.amazon.com/compliance/iso-9001-faqs/)」、「[ISO 27001](https://aws.amazon.com/compliance/iso-27001-faqs/)」、「[ISO 27017](https://aws.amazon.com/compliance/iso-27017-faqs/)」、「[ISO 27018](https://aws.amazon.com/compliance/iso-27018-faqs/)」、および 「[ISO 27701](https://aws.amazon.com/compliance/iso-27701-faqs/)」を参照してください。