AWS アカウント間でのリソースの複製または移行 - AWS 規範ガイダンス
AWS AppConfigAWS Certificate ManagerAmazon CloudFrontAWS CodeArtifactAmazon DynamoDBAmazon EBSAmazon EC2Amazon ECRAmazon EFSAmazon ElastiCache (Redis OSS)AWS Elastic BeanstalkElastic IP アドレスAWS LambdaAmazon LightsailAmazon NeptuneAmazon OpenSearch サービスAmazon RDSAmazon RedshiftAmazon Route 53Amazon S3Amazon SageMakerAWS WAF

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS アカウント間でのリソースの複製または移行

単一アカウントアーキテクチャから AWS アカウント マルチアカウントアーキテクチャに移行した後は、既存のアカウントで本番ワークロードと非本番ワークロードを実行するのが一般的です。これらのリソースを専用の本番用アカウントと非本番用アカウント、または組織単位に移行することで、これらのワークロードへのアクセスとネットワークを管理しやすくなります。一般的な AWS リソースを別の に移行するためのオプションを次に示します AWS アカウント。

このセクションでは、 AWS アカウント間でデータを複製する戦略に焦点を当てます。アカウント間でコンピューティングリソースを複製する必要がないように、ワークロードはできるだけステートレスになるように努める必要があります。また、環境を別の AWS アカウントに再プロビジョニングできるように、Infrastructure as Code (IaC) からリソースを管理することも有益です。

AWS AppConfig 設定と環境

AWS AppConfig では、その設定を別の に直接コピーすることはできません AWS アカウント。ただし、環境をホスト AWS アカウント している とは別に AWS AppConfig 設定と環境を管理することがベストプラクティスです。詳細については、「 を使用したクロスアカウント設定 AWS AppConfig」(AWS ブログ記事) を参照してください。

AWS Certificate Manager 証明書

証明書のプライベートキーの暗号化に使用される AWS Certificate Manager (ACM) キーは、 AWS リージョン および アカウントごとに一意であるため、 AWS Key Management Service (AWS KMS) 証明書をあるアカウントから別のアカウントに直接エクスポートすることはできません。ただし、複数のアカウントとリージョンにある同じドメイン名の複数の証明書を同時にプロビジョニングできます。ACM は、 DNS (推奨) または E メールを使用したドメインの所有権の検証をサポートします。DNS 検証を使用して新しい証明書を作成すると、 は証明書のすべてのドメインに一意のCNAMEレコードACMを生成します。CNAME レコードはアカウントごとに一意であり、証明書を適切に検証するには、72 時間以内に Amazon Route 53 ホストゾーンまたはDNSプロバイダーに追加する必要があります。

Amazon CloudFront ディストリビューション

Amazon CloudFront は、ある から別の AWS アカウント へのディストリビューションの移行をサポートしていません AWS アカウント。ただし、 CloudFront は、 とも呼ばれる代替ドメイン名の、あるディストリビューションCNAMEから別のディストリビューションへの移行をサポートしています。詳細については、「ディストリビューションのCNAMEエイリアスを設定するときにCNAMEAlreadyExistsエラーを解決する方法 CloudFront」 (AWS ナレッジセンター) を参照してください。

AWS CodeArtifact ドメインとリポジトリ

1 つの組織が複数のドメインを使用することもできますが、公開されたアーティファクトをすべて含む 1 つの本番ドメインを使用することをお勧めします。これにより、開発チームは組織全体でパッケージを見つけて共有できます。ドメインを所有 AWS アカウント する は、ドメインに関連付けられたリポジトリを所有するアカウントとは異なる場合があります。パッケージはリポジトリ間でコピーできますが、同じドメインに属している必要があります。詳細については、「リポジトリ間でパッケージをコピーする (CodeArtifact ドキュメント)」を参照してください。

Amazon DynamoDB テーブル

Amazon DynamoDB テーブルを別の AWS アカウントに移行するには、次のサービスのいずれかを使用できます。

  • AWS Backup

  • Amazon S3 への DynamoDB インポートとエクスポート

  • Amazon S3 と AWS Glue

  • AWS Data Pipeline

  • Amazon EMR

詳細については、「Amazon DynamoDB テーブル AWS アカウント を 1 つの から別の に移行する方法 (AWS ナレッジセンター)」を参照してください。

Amazon EBSボリューム

既存の Amazon Elastic Block Store (Amazon EBS) ボリュームのスナップショットを作成し、そのスナップショットをターゲットアカウントと共有してから、ターゲットアカウントでボリュームのコピーを作成できます。これにより、ボリュームをあるアカウントから別のアカウントに効果的に移行します。詳細については、「暗号化された Amazon EBSスナップショットまたはボリュームを別の (ナレッジセンター) と共有する方法 AWS アカウント」を参照してください。AWS

Amazon EC2インスタンスまたは AMIs

既存の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは Amazon マシンイメージ (AMIs) を別の に直接転送することはできません AWS アカウント。代わりに、ソースアカウントAMIでカスタムを作成し、 をターゲットアカウントAMIと共有し、ターゲットアカウントAMIで共有された から新しいEC2インスタンスを起動して、共有 の登録を解除できますAMI。詳細については、「Amazon EC2インスタンスまたは を別の (ナレッジセンター) AMIに転送する方法 AWS アカウント」を参照してください。AWS

Amazon ECR レジストリ

Amazon Elastic Container Registry (Amazon ECR) は、クロスアカウントレプリケーションとクロスリージョンレプリケーションの両方をサポートしています。ソースレジストリでレプリケーションを設定して、ターゲットレジストリでレジストリのアクセス許可ポリシーを設定します。詳細については、「クロスアカウントレプリケーションの設定」(Amazon ECRドキュメント) および「ソースアカウントのルートユーザーにすべてのリポジトリのレプリケートを許可する」(Amazon ECRドキュメント) を参照してください。

Amazon EFS ファイルシステム

Amazon Elastic File System (Amazon EFS) では、 AWS DataSync を使用してソースファイルシステムから別の の送信先ファイルシステムにデータをコピーできます AWS アカウント。 DataSync エージェントは、ソースファイルシステムと同じ AWS リージョン および AWS アカウント で作成する必要があります。詳細については、「クラウドファイルシステムから別のクラウドファイルシステムへのデータ転送」(DataSync ドキュメント) を参照してください。異なる の 2 つの Amazon EFS ファイルシステム間でコピーする場合は AWS アカウント、 NFS (送信元) から EFS (送信先) への転送を使用することをお勧めします。詳細と手順については、「Amazon からデータを転送するタスクの作成 EFS (DataSync ドキュメント)」を参照してください。

Amazon ElastiCache (Redis OSS) クラスター

Amazon ElastiCache (RedisOSS) データベースクラスターのバックアップを使用して、別のアカウントに移行できます。詳細については、 ElastiCache 「 (Redis OSS) クラスターを移行するためのベストプラクティスとは」(AWS ナレッジセンター) を参照してください。

AWS Elastic Beanstalk 環境

では AWS Elastic Beanstalk、保存された設定 (Elastic Beanstalk ドキュメント) を使用して、環境を別の に移行できます AWS アカウント。詳細については、「Elastic Beanstalk 環境 AWS アカウント を 1 つの から別の に移行する方法 AWS アカウント (AWS ナレッジセンター)」を参照してください。

Elastic IP アドレス

Elastic IP アドレス AWS アカウント は、同じ にある 間で転送できます AWS リージョン。詳細については、「Transfer Elastic IP addresses」(Amazon VPCドキュメント) を参照してください。

AWS Lambda レイヤー

デフォルトでは、作成した AWS Lambda レイヤーは に対してプライベートです AWS アカウント。ただし、必要に応じてレイヤーを他の と共有 AWS アカウント したり、公開したりできます。レイヤーをコピーするには、別の で再プロビジョニングします AWS アカウント。詳細については、「レイヤー権限の設定」(Lambda ドキュメント) を参照してください。

Amazon Lightsail インスタンス

Amazon Lightsail インスタンスのスナップショットを作成し、そのスナップショットを Amazon マシンイメージ (AMI) と Amazon EBSボリュームの暗号化されたスナップショットにエクスポートできます。詳細については、Amazon Lightsail スナップショットの Amazon へのエクスポートEC2」(Lightsail ドキュメント) を参照してください。デフォルトでは、スナップショットは AWS Key Management Service () で作成された AWS マネージドキーで暗号化されますAWS KMS。ただし、このタイプのKMSキーを 間で共有することはできません AWS アカウント。代わりに、ターゲットアカウントから使用できるカスタマーマネージドキーAMIを使用して、 のコピーを手動で暗号化します。詳細については、「他のアカウントのユーザーにKMSキーの使用を許可する (AWS KMS ドキュメント)」を参照してください。その後、コピーした をターゲットAMIと共有 AWS アカウント し、コピーした から Lightsail の新しいEC2インスタンスを起動できますAMI。詳細については、「新しいインスタンス起動ウィザードを使用してインスタンスを起動する」(Amazon EC2ドキュメント) を参照してください。

Amazon Neptune クラスター

Amazon Neptune データベースクラスターの自動スナップショットを別の AWS アカウントにコピーできます。詳細については、「Copying a database (DB) cluster snapshot」(Neptune ドキュメント) を参照してください。

手動スナップショットは最大 20 のAWS アカウント と共有して、そのスナップショットから DB クラスターを直接復元することもできます。詳細については、「Sharing a DB Cluster Snapshot」(Neptune ドキュメント) を参照してください。

Amazon OpenSearch Service ドメイン

Amazon OpenSearch Service ドメイン間でデータをコピーするには、Amazon S3 を使用してソースドメインのスナップショットを作成し、そのスナップショットを別の のターゲットドメインに復元します AWS アカウント。詳細については、「別の (ナレッジセンター) の Amazon OpenSearch Service ドメインからデータを復元する方法 AWS アカウント」を参照してください。AWS

間にネットワーク接続がある場合は AWS アカウント、Service のクラスター間レプリケーション (OpenSearch サービスドキュメント) OpenSearch 機能を使用することもできます。

Amazon RDSスナップショット

Amazon Relational Database Service (Amazon RDS) では、DB インスタンスまたはクラスターの手動スナップショットを最大 20 と共有できますAWS アカウント。共有スナップショットから DB インスタンスまたは DB クラスターを復元できます。詳細については、「手動の Amazon RDS DB スナップショットまたは Aurora DB クラスタースナップショットを別の (ナレッジセンター) と共有する方法 AWS アカウント」を参照してください。AWS

AWS Database Migration Service (AWS DMS) を使用して、異なるアカウントのデータベースインスタンス間の継続的なレプリケーションを設定することもできます。ただし、これにはピアVPCリングやトランジットゲートウェイなどのアカウント間のネットワーク接続が必要です。

Amazon Redshift クラスター

Amazon Redshift クラスターを別の に移行するには AWS アカウント、ソースアカウントでクラスターの手動スナップショットを作成し、そのスナップショットをターゲット と共有してから AWS アカウント、スナップショットからクラスターを復元します。詳細については、「Amazon Redshift でプロビジョニングされたクラスターを別の にコピーする方法 AWS アカウント」 (AWS ナレッジセンター) を参照してください。

Amazon Route 53 のドメインとホストゾーン

Amazon Route 53 のドメインは AWS アカウント間で移管できます。詳細については、「異なる AWS アカウントへのドメインの移管」(Route 53 ドキュメント) を参照してください。

Route 53 ホストゾーンを別の に移行することもできます AWS アカウント。これが推奨される場合や必要な場合の詳細については、「別の AWS アカウントにホストゾーンを移管する」(Route 53 ドキュメント) を参照してください。ホストゾーンを移行する場合、ターゲットの AWS アカウントにホストゾーンを再作成します。手順については、「別の AWS アカウントへのホストゾーンの移行」(Route 53 ドキュメント) を参照してください。

Amazon S3 バケット

Amazon Simple Storage Service (Amazon S3) 同一リージョンレプリケーションを使用して、同じAWSリージョン内の S3 バケット間でオブジェクトをコピーできます。詳細については、「オブジェクトのレプリケーション」(Amazon S3 ドキュメント) を参照してください。次の点に注意してください。

  • レプリカの所有権を、レプリケート先バケットを所有 AWS アカウント する に変更します。手順については、「レプリカ所有者の変更」(Amazon S3 ドキュメント) を参照してください。

  • ターゲットバケットの AWS アカウント ID を反映するようにバケット所有者条件を更新します。詳細については、「バケット所有者条件によるバケット所有者の確認」(Amazon S3 ドキュメントの) を参照してください。

  • 2023 年 4 月現在、新しく作成されたバケットに対してバケット所有者強制設定が有効になっているため、バケットアクセスコントロールリスト (ACLs) とオブジェクトACLsが無効になっています。詳細については、Amazon S3 セキュリティの変更が近づいている」(AWS ブログ記事) を参照してください。

  • S3 バッチプリケーション (Amazon S3 ドキュメント) を使用してレプリケーションが設定される前に存在していたオブジェクトをレプリケートできます。

Amazon SageMaker モデル

SageMaker モデルは、トレーニング中に Amazon S3 バケットに保存されます。ターゲットアカウントから S3 バケットへのアクセスを許可することで、ソースアカウントに保存されているモデルをターゲットアカウントにデプロイできます。詳細については、「Amazon SageMaker モデルを別の (ナレッジセンター) にデプロイする方法 AWS アカウント」を参照してください。AWS

AWS WAF ウェブ ACLs

AWS WAF ウェブアクセスコントロールリスト (ウェブ ACLs) は、Amazon CloudFront ディストリビューション、Application Load Balancer、Amazon API GatewayAPIs、 AWS AppSync GraphQL REST など、関連付けられているリソースと同じアカウントに存在する必要がありますAPIs。を使用して AWS Firewall Manager 、組織全体 AWS Organizations の AWS WAF ウェブをリージョン間で一元管理ACLsできます。詳細については、「AWS Firewall ManagerAWS WAF ポリシーの開始方法」(Firewall Manager ドキュメント) を参照してください。