翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
検索アクセス許可を提供するための Resource Explorer ビューの管理
ビューはリソース検索のカギとなる要素です。すべての AWS Resource Explorer 検索オペレーションでビューを使用する必要があります。ビューは、管理者が AWS アカウント内のリソースに関する情報へのアクセスを制御するために使用する手段です。
ビューには、そのビューを使用するアクセス許可を持つプリンシパル (IAM ロールまたはユーザー) のみがアクセスできます。Resource Explorer で正常に検索するには、プリンシパルがビューの に対する オペレーションresource-explorer-2:GetView
と resource-explorer-2:Search
オペレーションの両方Allow
にアクセスできる必要がありますARN。
ビューには組み込みのフィルタが含まれており、管理者はこれを使用して表示される結果が目的の項目のみになるよう制限できます。例えば、特定のプロジェクトに関連するリソースのみを含むビューを作成できます。他のプロジェクトに関する情報を閲覧する必要がないユーザーは、このビューを使用して目的のリソースのみを閲覧できます。
ビューはリージョンベースのリソースです。ビューは特定の AWS リージョン 内で作成および保存され、そのリージョンのインデックスからの情報のみを検索結果として返します。アカウント内のすべてのリージョンの結果を含めるには、そのビューがアグリゲーターインデックスを格納したリージョンにある必要があります。そのリージョンには、アカウント内の他のすべてのリージョンのインデックスの複製が含まれています。
各ビューには以下のようないくつかの重要な要素があります。
- 検索権限
-
標準の AWS アクセス許可ポリシーを使用して、各ビューを使用できるユーザーを制御できます。これは、各プリンシパルにアタッチされている ID ベースのアクセス許可ポリシーによって実現されます。これにより、各ビューで提供される情報を誰が見ることができるかをきめ細かく制御できます。例えば、
Production-resources
ビューへのアクセス権を付与して、生産サービスを運営するエンジニアだけがそのビューから検索できるようにすることができます。さらに、Pre-production-resources
ビューに異なる権限を付与することで、開発者が量産前リソースを検索できるようにすることもできます。プリンシパル
AWSResourceExplorerReadOnlyAccess
で という名前の管理 AWS ポリシーを使用すると、アカウント内の任意のビューを使用して検索できるようになります。または、独自のアクセス許可ポリシーを作成して、指定したビューのみに以下のアクセス許可を付与することもできます。
-
resource-explorer-2:GetView
-
resource-explorer-2:Search
アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
のユーザーとグループ AWS IAM Identity Center:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。
-
ID プロバイダーIAMを介して で管理されるユーザー:
ID フェデレーションのロールを作成します。「 IAMユーザーガイド」の「サードパーティー ID プロバイダーのロールの作成 (フェデレーション)」の手順に従います。
-
IAM ユーザー:
-
ユーザーが担当できるロールを作成します。「 IAMユーザーガイド」のIAM「 ユーザーのロールの作成」の手順に従います。
-
(お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。「 ユーザーガイド」の「ユーザーへのアクセス許可の追加 (コンソール)IAM」の指示に従います。
-
ビュー関連アクセス許可の詳細については、「検索用の Resource Explorer ビューへのアクセス許可の付与」を参照してください。
-
- 検索のフィルタ処理
-
ビューは、ユーザーがアカウント内のリソースを確認できる仮想ウィンドウとして機能します。複数のビューを作成して、それぞれに異なる全体像を表現させることができます。例えば、リソースに付けられたタグで識別される、量産前環境に関連するリソースのみを検索できるビューを作成することができます。あるいは、タグ内のさまざまな値に基づいて、本番環境内のリソースのみを検索できる別のビューを作成することもできます。複数のビューに異なる
FilterString
値を設定することで、検索するたびにそれらのクエリパラメータを再入力する必要がなくなります。ビューでは、リソースに関するどのオプション情報を結果に含めるかを指定することもできます。デフォルトのフィールドリストは常に結果に含まれます。デフォルトのリストに加えて、リソースに添付されているタグ、および () AWS Organizations の情報もビューに含めるようにリクエストできます。
- 検索範囲
-
-
リージョンの範囲 – Resource Explorer で を検索する AWS リージョン と、結果には、そのリージョンでインデックスが作成されたリソースのみを含めることができます。ほとんどのリージョンのインデックスには、そのリージョン内のリソースに関する情報しか含まれていないため、
LOCAL
のラベルが付けられています。これらのリージョンを検索すると、それらのリソースのみが検索結果として返されます。 -
アカウント範囲 — 1 つのローカルインデックスをアカウントのアグリゲーターインデックスに昇格できます。これを行うと、Resource Explorer がオンになっている他のすべてのリージョンは、アグリゲーターインデックスのあるリージョンに自リージョンのインデックス情報をリプリケートします。そのリージョンを検索すると、その結果にはアカウント内のすべてのリージョンのリソースが含まれます。[Quick Setup] オプションでサーバーを設定すると、Resource Explorer は指定したリージョンにアグリゲーターインデックスを自動的に作成します。また、[Quick Setup] オプションを使用すると、そのリージョンにデフォルトビューが作成され、すべてのリージョンのアカウント内のすべてのリソースを検索できるようになります。
-
デフォルトビュー
ユーザーが特定のビューを指定せずに検索を試みると、Resource Explorer はその AWS リージョンについて定義されているデフォルトビューを使用します。
そのリージョンのデフォルトビューが存在せず、ユーザーが使用するビューを指定しなかった場合、検索は失敗し、例外が生成されます。
Resource Explorer は、以下のプロセスでデフォルトビューを自動的に作成します。
-
を使用して Resource Explorer を有効に AWS Management Console し、クイックセットアップオプションを選択する場合は、アカウントのアグリゲータインデックスを含むリージョンを指定する必要があります。Resource Explorer は、指定されたアグリゲーターインデックスリージョンにデフォルトビューを自動的に作成します。
-
を使用して Resource Explorer を登録 AWS Management Console し、詳細設定オプションを選択した場合、オプションで、指定したリージョンのアカウントのアグリゲータインデックスを作成できます。これを行うと、Resource Explorer はアグリゲーターインデックスリージョンにデフォルトビューを自動的に作成します。
-
コンソールを使用して Resource Explorer を登録し、かつアグリゲーターインデックスリージョンを登録しないことを選択した場合、Resource Explorer は各リージョンにローカルインデックスのデフォルトビューを作成します。
-
AWS CLI または APIオペレーションを使用して Resource Explorer を登録した場合、Resource Explorer は自動的にデフォルトビューを作成しません。その場合、ユーザー検索が予想される各リージョンのデフォルトビューを手動で設定する必要があります。