Verified Access グループを別のグループと共有する AWS アカウント - AWS 検証済みアクセス
考慮事項リソース共有

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Verified Access グループを別のグループと共有する AWS アカウント

所有している Verified Access グループを他の AWS アカウントと共有する場合、それらのアカウントがグループに Verified Access エンドポイントを作成できるようにします。で Verified Access グループを作成したアカウントは、所有者アカウントと呼ばれます。共有グループを使用するアカウントは、コンシューマーアカウントと呼ばれます。

次の図は、Verified Access グループを共有する利点を示しています。中央セキュリティチームはアカウント A を所有しています。 のユーザーとグループを管理し AWS IAM Identity Center、Verified Access 信頼プロバイダー、Verified Access インスタンス、Verified Access グループ、Verified Access ポリシーなどの内部アプリケーションへのアクセスを提供するために必要な Verified Access リソースを管理します。アプリケーションチームはアカウント B を所有しています。ロードバランサー、Auto Scaling グループ、Amazon Route 53 DNSの設定、 AWS Certificate Manager () からのTLS証明書など、内部アプリケーションの実行に必要なリソースを管理しますACM。中央セキュリティチームが Verified Access グループをアカウント B と共有した後、アプリケーションチームは共有グループを使用して Verified Access エンドポイントを作成できます。アプリケーションへのアクセスは、中央セキュリティチームが Verified Access グループに作成したポリシーに基づいて許可または拒否されます。

組織内のアカウント間で Verified Access グループを共有する。

考慮事項

共有 Verified Access グループには、以下の考慮事項が適用されます。

Owners

  • Verified Access グループを共有するには、ユーザーに次のアクセス許可が必要です。 ec2:PutResourcePolicyおよび ec2:DeleteResourcePolicy

  • Verified Access グループを共有するには、そのグループを所有する必要があります。共有された Verified Access グループを共有することはできません。

  • 組織内のアカウントとの共有を有効にすると、招待を使用せずに Verified Access グループなどのリソースを共有できます。それ以外の場合、コンシューマーは招待を受け取り、共有グループにアクセスするには招待を受け入れる必要があります。共有を有効にするには、組織の管理アカウントから、 AWS RAM コンソールで設定ページを開き、 との共有を有効にする AWS Organizationsを選択します。

  • Verified Access エンドポイントが関連付けられている場合、グループを削除することはできません。コンシューマーアカウントによって作成されたエンドポイントは、アカウントの Verified Access エンドポイントページで表示できます。エンドポイントの所有者のアカウント ID は、エンドポイントの証明書の Amazon リソースネーム (ARN) に反映されます。

コンシューマー

  • 共有されている Verified Access グループを表示するには、コンソールで Verified Access グループページを開くか、 を呼び出しますdescribe-verified-access-groups。所有者のアカウント ID は、グループの所有者フィールドと Amazon リソースネーム (ARN) に反映されます。

  • Verified Access エンドポイントを作成するときは、共有された Verified Access グループを指定できます。

  • 共有グループに関連付けられているが、ユーザーが所有していないエンドポイントを表示することはできません。

  • Verified Access グループの所有者がリソース共有を削除した場合、グループ内に新しい Verified Access エンドポイントを作成することはできません。リソース共有の削除前に作成した Verified Access エンドポイントは、リソース共有の削除の影響を受けません。ただし、共有グループの所有者はエンドポイントを削除できます。

リソース共有

Verified Access グループを共有するには、リソース共有に追加する必要があります。リソース共有は、共有するリソースと、共有リソースを使用できるコンシューマーを指定します。

Verified Access グループを共有するには

  1. AWS RAM コンソールを https://console.aws.amazon.com/ram で開きます。

  2. 組織のリソース共有がない場合は、リソース共有を作成します。プリンシパルでは、組織全体、組織単位、または特定の AWS アカウントを選択できます。

  3. リソース共有を選択し、 の変更 を選択します。

  4. ではResources、リソースタイプとして Verified Access Groups を選択し、共有するリソースグループを選択します。

  5. スキップ先: を確認して更新する を選択します。

  6. リソース共有の更新 を選択します。

詳細については、AWS RAM ユーザーガイドの「リソースの共有の作成」を参照してください。