管理アクセス許可の表示 - AWS Resource Access Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

管理アクセス許可の表示

リソース共有内のリソースタイプに割り当て可能な管理アクセス許可の詳細を表示できます。リソース共有に割り当てられている管理アクセス許可を特定できます。これらの詳細を表示するには、AWS RAM コンソールで マネージド許可ライブラリ を使用します。

Console
AWS RAM で管理アクセス許可の詳細を表示するには

  1. AWS RAM コンソールで [マネージド許可ライブラリ] ページに移動します。

  2. AWS RAM リソース共有は特定の AWS リージョン 内に存在するので、コンソール右上のドロップダウンリストから適切な AWS リージョン を選択してください。グローバルリソースを含むリソース共有を表示するには、AWS リージョン を米国東部 (バージニア北部) (us-east-1) に設定する必要があります。グローバルリソース共有の詳細については、「リージョナルリソースの共有とグローバルリソースの共有の比較」を参照してください。すべてのリージョンで同じ AWS 管理アクセス許可を使用できますが、これは ステップ 5 内の各管理アクセス許可に表示される関連付けられたリソース共有の数に影響します。カスタマー管理アクセス許可は、作成したリージョンのみで使用できます。

  3. [マネージド許可] リストで、詳細を表示する管理アクセス許可を選択します。検索ボックスに名前またはリソースタイプの一部を入力するか、ドロップダウンリストで管理アクセス許可タイプを選択すると、管理アクセス許可のリストをフィルタリングできます。

  4. (オプション) 表示設定を変更するには、[マネージド許可] パネルの右上にある歯車アイコンを選択します。以下の設定を変更できます。

    • [Page size] (リソースサイズ) — 各ページに表示されるリソースの件数。

    • [Wrap lines] (行の折り返し) — 表内の行末で折り返すかどうかの指定。

    • [Columns] (列) - リソースタイプおよび関連付けられた共有に関する情報を表示するか非表示にするかを指定します。

    表示オプションを設定し終えたら [Confirm] (確認) を選択します。

  5. 各管理アクセス許可について、リストには次の情報が表示されます。

    • 管理アクセス許可名 — 管理アクセス許可の名前。

    • リソースタイプ — 管理アクセス許可に関連付けられているリソースタイプ。

    • 管理アクセス許可タイプ — 管理アクセス許可が AWS 管理アクセス許可かカスタマー管理アクセス許可のいずれであるか。

    • 関連付けられた共有 — 管理アクセス許可に関連付けられているリソース共有の数。番号が表示された場合、その番号を選択すると、リソース共有のテーブルに以下の情報が表示されます。

      • リソース共有名 — 管理アクセス許可に関連付けられているリソース共有の名前。

      • 管理アクセス許可のバージョン — このリソース共有にアタッチされている管理アクセス許可のバージョン。

      • 所有者 — リソース共有所有者の AWS アカウント 番号。

      • 外部プリンシパルを許可 — そのリソース共有が AWS Organizations において組織外のプリンシパルとの共有を許可するかどうか。

      • ステータス — リソース共有と管理アクセス許可の間の関連付けの現在のステータス。

    • ステータス — 管理アクセス許可の以下の状態を示します。

      • アタッチ可能 — 管理アクセス許可はリソース共有にアタッチできます。

      • アタッチ不可 — 管理アクセス許可はリソース共有にアタッチできません。

      • 削除中 — 管理アクセス許可は無効で、まもなく削除されます。

      • 削除済み — 管理アクセス許可は削除されました。管理アクセス許可ライブラリから削除されるまで 2 時間表示され続けます。

    管理アクセス許可の名前を選択すると、その管理アクセス許可に関する詳細を表示できます。管理アクセス許可の詳細ページには、以下の情報が表示されます。

    • リソースタイプ — この管理アクセス許可が適用される AWS リソースのタイプ。

    • バージョンの数 - カスタマー管理アクセス許可には最大 5 つのバージョンを作成できます。

    • デフォルトバージョン — どのバージョンをデフォルトにするかを指定し、この管理アクセス許可を使用するすべての新しいリソース共有に自動的に割り当てられます。異なるバージョンを使用する既存のリソース共有では、リソース共有をデフォルトバージョンに更新するように求めるプロンプトが表示されます。

    • ARN — 管理アクセス許可の Amazon リソースネーム (ARN)。AWS 管理アクセス許可の ARN は以下の形式に従います。

      arn:aws:ram::aws:permission/AWSRAM[DefaultPermission]ShareableResourceType

      [DefaultPermission] という部分文字列 (実際の ARN では括弧なし) は、そのリソースタイプでデフォルトに指定されている 1 つの管理アクセス許可の名前のみに存在します。

    • 管理アクセス許可のバージョン — このドロップダウンリストの下のタブで表示されるバージョン情報を選択できます。

      • 詳細タブ:

        • 作成日時 — 管理アクセス許可のこのバージョンが作成された日付と時刻。

        • 最終更新時刻 — 管理アクセス許可のこのバージョンが最後に更新された日付と時刻。

      • ポリシーテンプレートタブ — このバージョンの管理アクセス許可で、関連付けられているリソースタイプに対してプリンシパルが実行できるサービスアクションと条件 (該当する場合) のリスト。

      • 関連付けられたリソース共有 — このバージョンの管理アクセス許可を使用するリソース共有のリスト。

AWS CLI
AWS RAM で管理アクセス許可の詳細を表示するには

list-permissions コマンドを使用すると、呼び出し元アカウントについて現在の AWS リージョン にあるリソース共有で使用できる管理アクセス許可のリストを取得できます。

$ aws ram list-permissions
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMBlankEndEntityCertificateAPICSRPassthroughIssuanceCertificateAuthority",
            "resourceType": "acm-pca:CertificateAuthority",
            "status": "ATTACHABLE",
            "creationTime": "2022-06-30T13:03:31.732000-07:00",
            "lastUpdatedTime": "2022-06-30T13:03:31.732000-07:00",
            "isResourceTypeDefault": false,
            "permissionType": "AWS_MANAGED"
        },
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMBlankEndEntityCertificateAPIPassthroughIssuanceCertificateAuthority",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMBlankEndEntityCertificateAPIPassthroughIssuanceCertificateAuthority",
            "resourceType": "acm-pca:CertificateAuthority",
            "status": "ATTACHABLE",
            "creationTime": "2022-11-18T07:05:46.976000-08:00",
            "lastUpdatedTime": "2022-11-18T07:05:46.976000-08:00",
            "isResourceTypeDefault": false,
            "permissionType": "AWS_MANAGED"
        },

        ... TRUNCATED FOR BREVITY ... RUN COMMAND TO SEE COMPLETE LIST OF PERMISSIONS ...

        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMVPCPermissionsNetworkManagerCoreNetwork",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMVPCPermissionsNetworkManagerCoreNetwork",
            "resourceType": "networkmanager:CoreNetwork",
            "status": "ATTACHABLE",
            "creationTime": "2022-06-30T13:03:46.557000-07:00",
            "lastUpdatedTime": "2022-06-30T13:03:46.557000-07:00",
            "isResourceTypeDefault": false,
            "permissionType": "AWS_MANAGED"
        },        {
            "arn": "arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP",
            "version": "1",
            "defaultVersion": true,
            "name": "My-Test-CMP",
            "resourceType": "ec2:IpamPool",
            "status": "ATTACHABLE",
            "creationTime": "2023-03-08T06:54:10.038000-08:00",
            "lastUpdatedTime": "2023-03-08T06:54:10.038000-08:00",
            "isResourceTypeDefault": false,
            "permissionType": "CUSTOMER_MANAGED"
        }
    ]
}

特定の管理アクセス許可の ARN は、list-permissions AWS CLI コマンドの --query パラメータ内の名前で検索することもできます。次の例では、指定された名前と一致する permissions 配列結果の要素のみを含むように出力をフィルタリングします。また、結果には ARN フィールドのみを表示し、デフォルトの JSON の代わりにプレーンテキスト形式で表示するように指定しています。

$ aws ram list-permissions \
    --query "permissions[?name == 'My-Test-CMP'].arn \
    --output text
arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP

目的の管理アクセス許可の ARN が見つかったら、get-permission コマンドを実行して JSON ポリシーテキストを含む詳細を取得できます。

$ aws ram get-permission \
    --permission-arn arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP
{
    "permission": {
        "arn": "arn:aws:ram:us-east-1:123456789012:permission/My-Test-CMP",
        "version": "1",
        "defaultVersion": true,
        "name": "My-Test-CMP",
        "resourceType": "ec2:IpamPool",
        "permission": "{\n\t\"Effect\": \"Allow\",\n\t\"Action\": [\n\t\t\"ec2:GetIpamPoolAllocations\",\n\t\t\"ec2:GetIpamPoolCidrs\",\n\t\t\"ec2:AllocateIpamPoolCidr\",\n\t\t\"ec2:AssociateVpcCidrBlock\",\n\t\t\"ec2:CreateVpc\",\n\t\t\"ec2:ProvisionPublicIpv4PoolCidr\",\n\t\t\"ec2:ReleaseIpamPoolAllocation\"\n\t]\n}",
        "creationTime": "2023-03-08T06:54:10.038000-08:00",
        "lastUpdatedTime": "2023-03-08T06:54:10.038000-08:00",
        "isResourceTypeDefault": false,
        "permissionType": "CUSTOMER_MANAGED",
        "featureSet": "STANDARD",
        "status": "ATTACHABLE"
    }
}