でのクラスターのクロスアカウントのサポート ARC - Amazon Application Recovery Controller (ARC)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのクラスターのクロスアカウントのサポート ARC

Amazon Application Recovery Controller (ARC) は と統合 AWS Resource Access Manager してリソース共有を有効にします。 AWS RAM は、他の AWS アカウント または を介してリソースを共有できるようにするサービスです AWS Organizations。ではARC、クラスターリソースを共有できます。

では AWS RAM、リソース共有 を作成して、所有しているリソースを共有します。リソース共有では、共有対象のリソースと、共有先である参加者を指定します。参加者には以下が含まれます。

  • の所有者の組織 AWS アカウント 内外の特定 AWS Organizations

  • の組織内の組織単位 AWS Organizations

  • の組織全体 AWS Organizations

の詳細については AWS RAM、「 AWS RAM ユーザーガイド」を参照してください。

AWS Resource Access Manager を使用して のアカウント間でクラスターリソースを共有することでARC、1 つのクラスターを使用して、複数の異なる が所有するコントロールパネルとルーティングコントロールをホストできます AWS アカウント。クラスターを共有する場合、 AWS アカウント 指定した他の はクラスターを使用して独自のコントロールパネルとルーティングコントロールをホストできるため、異なるチーム間のルーティング機能をより詳細に制御し、柔軟性を高めることができます。

AWS RAM は、 AWS お客様が 間でリソースを安全に共有できるようにするサービスです AWS アカウント。では AWS RAM、ロールとIAMユーザーを使用して AWS Organizations、 の組織または組織単位 (OUs) 内でリソースを共有できます。 AWS RAM は、クラスターを共有するための一元化され制御された方法です。

クラスターを共有すると、組織が必要とするクラスターの総数を減らせます。共有クラスターを使用すると、異なるチーム間でクラスターを実行する合計コストを割り当てて、低コストARCで の利点を最大化できます。(クラスターでホストされるリソースを作成しても、所有者や参加者に追加コストは発生しません)。アカウント間でクラスターを共有すると、特に複数のアカウントや運用チームに多数のアプリケーションが分散されている場合にARC、複数のアプリケーションを にオンボーディングするプロセスも簡単になります。

でクロスアカウント共有を開始するにはARC、 でリソース共有を作成します AWS RAM。リソース共有は、アカウントが所有するクラスターを共有する権限を持つ参加者を指定します。その後、参加者は、 を使用するか、 AWS Management Console または を使用してARCAPIオペレーションを実行することで、クラスター内にコントロールパネルやルーティングコントロールなどのリソースを作成できます AWS Command Line Interface AWS SDKs。

このトピックでは、所有しているリソースの共有方法と、共有されているリソースの使用方法を説明します。

クラスター共有の前提条件

  • クラスターを共有するには、 でクラスターを所有している必要があります AWS アカウント。つまり、自分のアカウントにそのリソースが割り当てられているか、プロビジョニングされている必要があります。自分自身が共有を受けているクラスターは共有できません。

  • 組織または AWS Organizations内の組織単位とクラスターを共有するには、 AWS Organizationsとの共有を有効にする必要があります。詳細については、AWS RAM ユーザーガイドの「AWS Organizationsで共有を有効化する」を参照してください。

クラスターの共有

所有しているクラスターを共有すると、クラスターを共有するために指定した参加者は、クラスター内で独自のARCリソースを作成してホストできます。

クラスターを共有するには、リソース共有に追加する必要があります。リソース共有とは、 AWS アカウント間で自身のリソースを共有するための AWS RAM リソースです。リソース共有では、共有対象のリソースと、共有先の参加者を指定します。クラスターを共有するには、新しいリソース共有を作成するか、リソースを既存のリソース共有に追加します。新しいリソース共有を作成するには、コンソール を使用するか、 AWS Command Line Interface または AWS RAMで オペレーションを使用します AWS RAM API AWS SDKs。

ユーザーが の組織に属 AWS Organizations していて、組織内での共有が有効になっている場合、組織内の参加者には共有クラスターへのアクセス許可が自動的に付与されます。それ以外の場合、参加者はリソース共有への参加の招待を受け取り、その招待を受け入れた後で、共有クラスターに対するアクセス許可が付与されます。

所有しているクラスターを共有するには、 AWS RAM コンソールを使用するか、 AWS CLI または で AWS RAM APIオペレーションを使用しますSDKs。

AWS RAM コンソールを使用して所有しているクラスターを共有するには

AWS RAM ユーザーガイド」の「リソース共有の作成」を参照してください。

を使用して所有しているクラスターを共有するには AWS CLI

create-resource-share コマンドを使用します。

共有クラスターの共有解除

クラスターの共有を解除すると、次のことが参加者と所有者に適用されます。

  • 現在の参加者のリソースは、共有解除されたクラスターに残ります。

  • 参加者は引き続き、共有解除されたクラスターのルーティングコントロール状態を更新して、アプリケーションフェイルオーバーのルーティングを管理できます。

  • 参加者は共有解除されたクラスターに新しいリソースを作成できません。

  • 参加者のリソースがまだ共有解除されたクラスターにある場合、所有者はその共有クラスターを削除できません。

所有している共有クラスターの共有を解除するには、それをリソース共有から削除します。これを行うには、 AWS RAM コンソールを使用するか、 AWS CLI または で オペレーションを使用します AWS RAM APISDKs。

AWS RAM コンソールを使用して所有している共有クラスターの共有を解除するには

AWS RAM ユーザーガイド の「リソース共有の更新」を参照してください。

を使用して所有している共有クラスターの共有を解除するには AWS CLI

disassociate-resource-share コマンドを使用します。

共有クラスターの識別

所有者と参加者は、 AWS RAM内で情報を表示して、共有クラスターを識別できます。ARC コンソールと を使用して、共有リソースに関する情報を取得することもできます AWS CLI。

一般に、共有したリソースまたは共有されたリソースの詳細については、 AWS Resource Access Manager 「 ユーザーガイド」の情報を参照してください。

  • 所有者は、 AWS RAMを使用することで、他のユーザーと共有しているすべてのリソースを表示できます。詳細については、「 での共有リソースの表示 AWS RAM」を参照してください。

  • 参加者として、 を使用して共有されているすべてのリソースを表示できます AWS RAM。詳細については、「 での共有リソースの表示 AWS RAM」を参照してください。

所有者は、 で情報を表示するか、 ARC API オペレーション AWS Command Line Interface で AWS Management Console を使用してクラスターを共有するかどうかを判断できます。

コンソールを使用して、所有しているクラスターが共有されているかどうかを確認するには

のクラスター AWS Management Consoleの詳細ページで、クラスターの共有ステータス を参照してください。

を使用して、所有しているクラスターが共有されているかどうかを確認するには AWS CLI

get-resource-policy コマンドを使用します。クラスターにリソースポリシーがある場合、コマンドはそのポリシーに関する情報を返します。

参加者がクラスターの共有を受ける際は、通常、共有を承諾する必要があります。また、クラスターの [所有者] フィールドにはクラスター所有者の説明が含まれます。

共有クラスターの責任とアクセス許可

所有者のアクセス許可

所有しているクラスターを他の と共有すると AWS アカウント、クラスターの使用が許可されている参加者は、クラスター内にコントロールパネル、ルーティングコントロール、およびその他のリソースを作成できます。

クラスター所有者は、クラスターの作成、管理、削除に責任を負います。ルーティングコントロールや安全ルールなど、参加者が作成したリソースを変更または削除できません。例えば、参加者が作成したルーティングコントロールを更新してルーティングコントロールの状態を変更できません。

ただし、自分が所有するクラスターの参加者が作成したルーティングコントロールの詳細は表示できます。例えば、 AWS Command Line Interface または を使用して、ルーティングコントロールARCAPIオペレーション を呼び出すことで、ルーティングコントロールの状態を表示できます AWS SDKs。

参加者が作成したリソースを変更する必要がある場合は、リソースへのアクセス許可IAMを持つロールを で設定し、そのロールにアカウントを追加できます。

参加者のアクセス許可

一般に、参加者は、共有されたクラスター内でコントロールパネル、ルーティングコントロール、安全ルール、ヘルスチェックを作成し、使用できます。共有クラスター内のクラスターリソースの表示、変更、削除ができるのは、そのリソースを所有している場合に限られます。例えば、参加者は自分が作成したコントロールパネルの安全ルールを作成および削除できます。

以下の制限が適用されます。

  • 参加者は、共有クラスターを使用して他のアカウントが作成したコントロールパネルを表示、変更、削除できません。

  • 参加者は、他のアカウントが共有クラスターに作成したリソースについて、ルーティングコントロールの表示、作成、変更 (ルーティングコントロールの状態を含む) を行えません。

  • 参加者は、共有クラスター内の他のアカウントが作成した安全ルールを作成、変更、表示できません。

  • クラスター所有者のものであるため、参加者は共有クラスター内のデフォルトコントロールパネルにはリソースを追加できません。

前述のように、参加者は共有クラスターのデフォルトコントロールパネルにルーティングコントロールを作成できません。クラスター所有者がデフォルトコントロールパネルを所有しているためです。ただし、クラスター所有者は、クラスターのデフォルトのコントロールパネルにアクセスするアクセス許可を付与するクロスアカウントIAMロールを作成できます。その後、所有者は参加者にロールを引き受ける許可を付与できます。これにより、参加者はデフォルトのコントロールパネルにアクセスし、所有者がロールのアクセス許可で指定した方法で使用できるようになります。

費用請求

のクラスターの所有者ARCには、クラスターに関連するコストが請求されます。クラスターの所有者側でも参加者側でも、クラスターでホストされるリソースの作成に追加費用はかかりません。

詳細な料金情報と例については、「Amazon Application Recovery Controller (ARC) の料金」を参照し、「Amazon Application Recovery Controller () までスクロールダウンしますARC。

クォータ

共有クラスターで作成されたすべてのリソース (共有クラスターへのアクセス権を持つすべての参加者が作成したリソースを含む) は、そのクラスターや他のリソース (ルーティングコントロールなど) で有効なクォータにカウントされます。クラスターリソースを共有するアカウントのクォータがクラスター所有者のクォータよりも高い場合、クラスター所有者のクォータは、共有しているアカウントのクォータよりも優先されます。

これがどのように機能するかをよりよく理解するには、次の例を参照してください。リソース共有でのクォータの仕組みを説明するために、これらの例では、クラスター所有者が所有者で、クラスターが共有されているアカウントが参加者であるとします。

コントロールパネルのクォータ

クォータは、クラスターあたりの所有者の合計コントロールパネルに適用されます。

例えば、所有者がクラスターあたりのコントロールパネル数に対して 50 のクォータを持ち、クラスター内に 13 のコントロールパネルがあるとします。次に、参加者のクォータが 150 に設定されているとします。このシナリオでは、参加者は共有クラスターに最大 37 個のコントロールパネル (つまり 50~13) しか作成できません。

さらに、クラスターを共有する他のアカウントもコントロールパネルを作成する場合、それらはすべてクラスター全体の 50 個のコントロールパネルのクォータにカウントされます。

ルーティングコントロールのクォータ

ルーティングコントロールには複数のクォータがあります。コントロールパネルあたりのクォータ、クラスターあたりのクォータ、安全ルールあたりのクォータです。所有者のクォータは、これらすべてのクォータに優先されます。

例えば、所有者がクラスターあたりのルーティングコントロール数に対して 300 のクォータを持ち、クラスターにすでに 300 のルーティングコントロールがあるとします。次に、参加者がこのクォータを 500 に設定しているとします。このシナリオでは、参加者は共有クラスターに新しいルーティングコントロールを作成できません。

安全ルールのクォータ

クォータは、コントロールパネルのクォータごとに所有者の安全ルールに適用されます。

例えば、所有者がコントロールパネルあたりの安全ルール数に対して 20 のクォータを持ち、参加者がこのクォータを 80 に設定しているとします。このシナリオでは、所有者の下限が優先されるため、参加者は共有クラスターのコントロールパネルに最大 20 個の安全ルールしか作成できません。

ルーティングコントロールクォータのリストについては、「」を参照してくださいルーティングコントロールのクォータ