Lattice VPC エンティティを共有する - Amazon VPC Lattice
前提条件エンティティを共有するエンティティの共有を停止する責任と権限クロスアカウントイベント

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Lattice VPC エンティティを共有する

Amazon VPC Lattice は AWS Resource Access Manager (AWS RAM) と統合され、サービス、リソース設定、サービスネットワークの共有を可能にします。 AWS RAM は、一部の Lattice VPC エンティティを他の AWS アカウント と共有したり、 を介して共有したりできるサービスです AWS Organizations。では AWS RAM、リソース共有を作成して、所有しているエンティティを共有します。リソース共有は、共有するエンティティと、共有するコンシューマーを指定します。コンシューマーには以下が含まれます。

  • の組織 AWS アカウント 内外に固有 AWS Organizations。

  • AWS Organizationsの組織内の組織単位

  • AWS Organizationsの組織全体。

詳細については AWS RAM、「 AWS RAM ユーザーガイド」を参照してください。

Lattice VPC エンティティを共有するための前提条件

  • エンティティを共有するには、そのエンティティを で所有する必要があります AWS アカウント。つまり、エンティティはアカウントで割り当てまたはプロビジョニングする必要があります。自分と共有されているエンティティを共有することはできません。

  • 組織または の組織単位とエンティティを共有するには AWS Organizations、 との共有を有効にする必要があります AWS Organizations。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizations内でリソース共有を有効にする」を参照してください。

Lattice VPC エンティティを共有する

エンティティを共有するには、まず を使用してリソース共有を作成します AWS Resource Access Manager。リソース共有は、共有するエンティティ、共有先のコンシューマー、プリンシパルが実行できるアクションを指定します。

所有している Lattice VPC エンティティを他の と共有すると AWS アカウント、それらのアカウントがそれらのエンティティをアカウントのエンティティに関連付けることができます。共有エンティティに対して関連付けを作成すると、エンティティ所有者アカウントと関連付けを作成したアカウントに Amazon リソースネーム (ARN) が生成されます。したがって、エンティティ所有者と関連付けを作成したアカウントの両方が関連付けを削除できます。

ユーザーが の組織に属 AWS Organizations していて、組織内での共有が有効になっている場合、組織内のコンシューマーには共有エンティティへのアクセスが自動的に付与されます。それ以外の場合、コンシューマーはリソース共有への参加の招待を受け取り、招待を承諾すると共有エンティティへのアクセスが許可されます。

考慮事項

  • サービスネットワーク、サービス、リソース設定の 3 VPC 種類の Lattice エンティティを共有できます。

  • Lattice VPC エンティティは任意の と共有できます AWS アカウント。

  • 個々のIAMユーザーおよびロールと Lattice VPC エンティティを共有することはできません。

  • VPC Lattice は、 サービス、リソース設定、およびサービスネットワークのカスタマー管理アクセス許可をサポートしています。

Lattice VPC コンソールを使用して所有しているエンティティを共有するには

  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインの VPCLattice で、サービスサービスネットワーク、またはリソース設定を選択します。

  3. エンティティの名前を選択して詳細ページを開き、共有タブから共有サービス共有サービスネットワーク、または共有リソース設定を選択します。

  4. AWS RAM リソース共有からリソース共有を選択します。リソース共有を作成するには、RAMコンソールでリソース共有を作成するを選択します。

  5. 共有サービス共有サービスネットワーク、または共有リソース設定を選択します。

AWS RAM コンソールを使用して所有しているエンティティを共有するには

「AWS RAM ユーザーガイド」の「リソース共有の作成」で説明されている手順を使用します。

を使用して所有しているエンティティを共有するには AWS CLI

associate-resource-share」コマンドを実行します。

Lattice VPC エンティティの共有を停止する

所有している Lattice VPC エンティティの共有を停止するには、リソース共有から削除する必要があります。既存の関連付けは、エンティティの共有を停止した後も保持されます。以前に共有したエンティティへの新しい関連付けは許可されません。エンティティ所有者または関連付け所有者が関連付けを削除すると、両方のアカウントから削除されます。アカウント所有者がリソース共有を離れる場合は、リソース共有の所有者に、このリソースが共有されたアカウントのリストから自分のアカウントを削除するように依頼する必要があります。

Lattice VPC コンソールを使用して所有しているエンティティの共有を停止するには

  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインの VPCLattice で、サービスサービスネットワーク、またはリソース設定を選択します。

  3. エンティティの名前を選択して、詳細ページを開きます。

  4. [共有] タブでリソース共有のチェックボックスをオンにし、[削除] を選択します。

AWS RAM コンソールを使用して所有しているエンティティの共有を停止するには

「AWS RAM ユーザーガイド」の「リソース共有の更新」を参照してください。

を使用して所有しているエンティティの共有を停止するには AWS CLI

disassociate-resource-share」コマンドを実行します。

責任と権限

共有 Lattice VPC エンティティを使用する場合は、次の責任とアクセス許可が適用されます。

エンティティ所有者

  • サービスネットワーク所有者は、コンシューマーが作成したサービスを変更できません。

  • サービスネットワーク所有者は、コンシューマーが作成したサービスを削除できません。

  • サービスネットワーク所有者は、サービスネットワークのすべてのサービスの関連付けを記述できます。

  • サービスネットワーク所有者は、関連付けを作成したユーザーに関係なく、サービスネットワークに関連付けられているすべてのサービスの関連付けを解除できます。

  • サービスネットワーク所有者は、サービスネットワークのすべてのVPC関連付けを記述できます。

  • サービスネットワーク所有者は、コンシューマーVPCがサービスネットワークに関連付けたすべての関連付けを解除できます。

  • サービスネットワーク所有者は、サービスネットワークのすべてのリソース設定の関連付けを記述できます。

  • サービスネットワーク所有者は、関連付けを作成したユーザーに関係なく、サービスネットワークに関連付けられたリソース設定の関連付けを解除できます。

  • サービスネットワーク所有者は、サービスネットワークのすべてのエンドポイントの関連付けを記述できます。

  • サービスネットワーク所有者は、関連付けを作成したユーザーに関係なく、サービスネットワークに関連付けられたエンドポイントの関連付けを解除できます。

  • サービス所有者は、サービスとのすべてのサービスネットワークの関連付けを記述できます。

  • サービス所有者は、サービスが関連付けられているすべてのサービスネットワークからサービスの関連付けを解除できます。

  • リソース設定所有者は、リソース設定とのすべてのネットワーク関連付けを記述できます。

  • リソース設定所有者は、リソース設定が関連付けられている任意のサービスネットワークからリソース設定の関連付けを解除できます。

  • VPC エンドポイント所有者は、関連付けられているサービスネットワークを記述できます。

  • VPC エンドポイント所有者は、サービスネットワークからエンドポイントの関連付けを解除できます。

  • 関連付けを作成したアカウントのみが、サービスネットワークと の間の関連付けを更新できますVPC。

エンティティコンシューマー

  • コンシューマーは、作成していないサービスまたはリソース設定を削除することはできません。

  • コンシューマーは、サービスネットワークに関連付けられたサービスまたはリソース設定のみの関連付けを解除できます。

  • コンシューマーとネットワーク所有者は、サービスネットワークとサービスまたはリソース設定の間のすべての関連付けを記述できます。

  • コンシューマーは、所有していないリソース設定のサービス情報またはリソース設定情報を取得できません。

  • コンシューマーは、共有サービスネットワークとのすべてのサービス関連付けとリソース設定の関連付けを記述できます。

  • コンシューマーは、サービスまたはリソース設定を共有サービスネットワークに関連付けることができます。

  • コンシューマーは、共有サービスネットワークとのすべてのVPC関連付けを表示できます。

  • コンシューマーは、 VPCを共有サービスネットワークに関連付けることができます。

  • コンシューマーは、サービスネットワークに関連付けVPCsた のみの関連付けを解除できます。

  • コンシューマーは、サービスネットワークVPCエンドポイントを作成して、 VPCを共有サービスネットワークに接続できます。

  • コンシューマーは、 VPCを共有サービスネットワークに接続するために作成したサービスネットワークVPCエンドポイントのみを削除できます。

  • 共有サービスのコンシューマーは、自分が所有していないサービスネットワークにサービスを関連付けることはできません。

  • 共有サービスネットワークのコンシューマーは、所有していない VPCまたはサービスを関連付けることはできません。

  • 共有リソース設定のコンシューマーは、リソース設定を所有していないサービスネットワークに関連付けることはできません。

  • 共有サービスネットワークのコンシューマーは、所有していない VPCまたは のサービスまたはリソース設定を関連付けることはできません。

  • コンシューマーは、共有されているサービス、サービスネットワーク、またはリソース設定を記述できます。

  • コンシューマーは、2 つのエンティティが共有されている場合、それらを関連付けることはできません。

クロスアカウントイベント

エンティティの所有者とコンシューマーが共有エンティティに対してアクションを実行すると、それらのアクションはクロスアカウントイベントとして記録されます AWS CloudTrail。

CreateServiceNetworkResourceAssociationBySharee

エンティティコンシューマーが共有エンティティCreateServiceNetworkResourceAssociation と通話したときに、エンティティ所有者に送信されます。呼び出し元がリソース設定を所有している場合、イベントはサービスネットワークの所有者に送信されます。呼び出し元がサービスネットワークを所有している場合、イベントはリソース設定の所有者に送信されます。

CreateServiceNetworkServiceAssociationBySharee

エンティティコンシューマーが共有エンティティCreateServiceNetworkServiceAssociationと通話したときに、エンティティ所有者に送信されます。発信者がサービスを所有している場合、イベントはサービスネットワークの所有者に送信されます。発信者がサービスネットワークを所有している場合、イベントはサービスの所有者に送信されます。

CreateServiceNetworkVpcAssociationBySharee

エンティティコンシューマーが共有サービスネットワークCreateServiceNetworkVpcAssociationで を呼び出すと、エンティティ所有者に送信されます。

DeleteServiceNetworkResourceAssociationByOwner

エンティティ所有者が共有エンティティDeleteServiceNetworkResourceAssociation を呼び出すと、関連付け所有者に送信されます。呼び出し元がリソース設定を所有している場合、イベントはサービスネットワーク関連付けの所有者に送信されます。発信者がサービスネットワークを所有している場合、イベントはリソースの関連付けの所有者に送信されます。

DeleteServiceNetworkResourceAssociationBySharee

エンティティコンシューマーが共有エンティティDeleteServiceNetworkResourceAssociation と通話したときに、エンティティ所有者に送信されます。呼び出し元がリソース設定を所有している場合、イベントはサービスネットワークの所有者に送信されます。呼び出し元がサービスネットワークを所有している場合、イベントはリソース設定の所有者に送信されます。

DeleteServiceNetworkServiceAssociationByOwner

エンティティ所有者が共有エンティティDeleteServiceNetworkServiceAssociationを呼び出すと、関連付け所有者に送信されます。発信者がサービスを所有している場合、イベントはサービスネットワークの関連付けの所有者に送信されます。発信者がサービスネットワークを所有している場合、イベントはサービスの関連付けの所有者に送信されます。

DeleteServiceNetworkServiceAssociationBySharee

エンティティコンシューマーが共有エンティティDeleteServiceNetworkServiceAssociationと通話したときに、エンティティ所有者に送信されます。発信者がサービスを所有している場合、イベントはサービスネットワークの所有者に送信されます。発信者がサービスネットワークを所有している場合、イベントはサービスの所有者に送信されます。

DeleteServiceNetworkVpcAssociationByOwner

エンティティ所有者が共有サービスネットワークDeleteServiceNetworkVpcAssociationで を呼び出すと、関連付け所有者に送信されます。

DeleteServiceNetworkVpcAssociationBySharee

エンティティコンシューマーが共有サービスネットワークDeleteServiceNetworkVpcAssociationで を呼び出すと、エンティティ所有者に送信されます。

GetServiceBySharee

エンティティコンシューマーが共有サービスGetServiceで を呼び出すと、エンティティ所有者に送信されます。

GetServiceNetworkBySharee

エンティティコンシューマーが共有サービスネットワークGetServiceNetworkで を呼び出すと、エンティティ所有者に送信されます。

GetServiceNetworkResourceAssociationBySharee

エンティティコンシューマーが共有エンティティGetServiceNetworkResourceAssociation と通話したときに、エンティティ所有者に送信されます。呼び出し元がリソース設定を所有している場合、イベントはサービスネットワークの所有者に送信されます。呼び出し元がサービスネットワークを所有している場合、イベントはリソース設定の所有者に送信されます。

GetServiceNetworkServiceAssociationBySharee

エンティティコンシューマーが共有エンティティGetServiceNetworkServiceAssociationと通話したときに、エンティティ所有者に送信されます。発信者がサービスを所有している場合、イベントはサービスネットワークの所有者に送信されます。発信者がサービスネットワークを所有している場合、イベントはサービスの所有者に送信されます。

GetServiceNetworkVpcAssociationBySharee

エンティティコンシューマーが共有サービスネットワークGetServiceNetworkVpcAssociationで を呼び出すと、エンティティ所有者に送信されます。

以下は、CreateServiceNetworkServiceAssociationBySharee イベントのエントリ例です。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-04-27T17:12:46Z",
    "eventSource": "vpc-lattice.amazonaws.com",
    "eventName": "CreateServiceNetworkServiceAssociationBySharee",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "vpc-lattice.amazonaws.com",
    "userAgent": "ec2.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "callerAccountId": "111122223333"
    },
    "requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
    "eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
            "ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}