AWS Resource Access Manager とは? - AWS Resource Access Manager
動画の概要利点リソース共有のしくみAWS RAM へのアクセス料金コンプライアンスと国際規格

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Resource Access Manager とは?

AWS Resource Access Manager(AWS RAM) を使用すると、1AWSAWS アカウント つのアカウントで作成したリソースを、同じアカウントのすべてのロールやユーザーと、AWS アカウントまたは他のアカウントと安全に共有できます。複数のがある場合AWS アカウント、リソースを 1 回作成し、AWS RAMを使用してそのリソースを他のアカウントで使用可能にします。アカウントがによって管理されている場合AWS Organizations、リソースを共有できるは相手は組織内の他のすべてのアカウント、または 1 つ以上の指定された組織単位 (OU) に含まれるアカウントのみです。アカウントが組織の一部かどうかにかかわらず、アカウント ID で特定の AWS アカウント と共有することも可能です。サポートされているリソースタイプによっては、指定した IAM ロールやユーザーと共有することもできます。

動画の概要

次の動画では、AWS RAMリソース共有の簡単な紹介と作成方法について説明します。

次のビデオでは、AWS RAMAWS管理権限によってリソースへの最小権限アクセスのベストプラクティスをどのように適用できるかを示しています。

利点

AWS RAM を使用する理由 以下のような利点があります。

  • [Reduces your operational overhead] (運用オーバーヘッドを削減) — リソースを一度作成すれば、AWS RAM を使用してそのリソースを他のアカウントと共有できます。これにより、複製したリソースをすべてのアカウントにプロビジョニングする必要がなくなるため、運用のオーバーヘッドが減少します。

  • [Provides security and consistency] (セキュリティと一貫性を確保) - 単一のポリシーとアクセス許可セットを使用して、共有リソースのセキュリティ管理を簡素化します。代わりに、個別のすべてのアカウントに重複リソースを作成しようとする場合、同じポリシーとアクセス許可を実装するタスクがあり、それらのアカウント全体で同じリソースを維持する必要があります。代わりに、AWS RAM リソース共有のすべてのユーザーは、単一のポリシーとアクセス許可のセットで管理されます。AWS RAM は、異なるタイプの AWS リソースを共有する一貫したエクスペリエンスを提供します。

  • [Provide auditability] (可視性と可監査性を提供) — AmazonAWS RAM CloudWatch と統合することで、共有リソースの使用状況の詳細を確認できますAWS CloudTrail。 AWS RAM共有リソースとアカウントを包括的に可視化します。

リソースベースのポリシーによるクロスアカウントアクセス

AWS アカウント の外にあるプリンシパルを識別する リソースベースのアクセス許可ポリシーをアタッチ することで、一部のタイプの AWS リソースを他の AWS アカウント と共有できます。しかし、ポリシーのアタッチによるリソースの共有では、AWS RAM が提供する付加的な利点を活かせません。AWS RAM を使用すると、以下の機能を利用できるようになります。

  • 全員の AWS アカウント ID を列挙しなくても、組織または組織単位 (OU) と共有できます。該当する AWS アカウント のすべてのプリンシパルは、このようなリソース共有内のリソースに自動的にアクセスできるようになります。

  • ユーザーからは、共有されたリソースを発信元の AWS のサービス コンソールや API オペレーションで、あたかもそのリソースがユーザーのアカウント内に直接存在するかのように見えます。例えば、Amazon VPC サブネットを別のアカウントと共有する場合、そのアカウントのユーザーは、Amazon VPC コンソールそのアカウントで実行された Amazon VPC API オペレーションの結果でサブネットを確認できます。AWS RAMリソースベースのポリシーをアタッチして共有されているリソースはこのように表示されることはなく、代わりに ARN によってリソースを検出して明示的に参照する必要があります。

  • リソースの所有者は、共有した個々のリソースにアクセスできるプリンシパルを確認できます。

  • 組織の一部ではないアカウントとリソースを共有する場合、AWS RAM招待プロセスが開始されます。受信者は、そのプリンシパルが共有リソースにアクセスする前に、受信者は招待を受け入れる必要があります。組織内での共有機能を有効にすると、組織内のアカウントとの共有に招待は不要になります

リソースベースのアクセス許可ポリシーを使用して共有したリソースがある場合、PromoteResourceShareCreatedFromPolicy API オペレーションもしくはそれに相当する CLI である promote-resource-share-created-from-policy を使用して、それらのリソースを AWS RAM フルマネージドリソースに「昇格」させることができます。

リソース共有のしくみ

所有アカウント内のリソースを別のユーザーAWS アカウント、つまり消費アカウントと共有する場合、消費アカウントのプリンシパルに共有リソースへのアクセスを許可することになります。使用アカウントのロールとユーザーに適用されるすべてのポリシーとアクセス許可は共有リソースにも適用されます。共有内のリソースは、共有した内にあるネイティブのリソースのように見えるのです。AWS アカウント

グローバルリソースと地域リソースの両方を共有できます。詳細については、「グローバルリソースと比較して地域のリソースを共有する」を参照してください。

リソースの共有

AWS RAM を使用したリソース共有。これにより、自身が所有するリソースを共有できます。リソース共有を作成するには、以下を指定します。

  • リソース共有を作成する場所。AWS リージョンコンソールでは、コンソールウィンドウの右上隅にあるリージョンドロップダウンメニューから選択します。ではAWS CLI、--regionパラメータを使用します。

    • リソース共有には、AWS リージョンリソース共有と同じリージョンリソースのみを含めることができます。

    • リソース共有にグローバルリソースを含めることができるのは、そのリソース共有がグローバルリソースのホームリージョンである米国東部 (バージニア北部) にある場合のみですus-east-1

  • リソース共有の名前。

  • このリソース共有の一部としてアクセス権を付与したいリソースのリスト。

  • リソース共有へのアクセス権の付与先になるプリンシパル。プリンシパルとなれるものは、個々の AWS アカウント、AWS Organizations 内の組織または組織単位 (OU) のアカウント、または個々の AWS Identity and Access Management (IAM) す。

    注記

    すべてのリソースタイプを IAM ロールやユーザーと共有できるわけではありません。これらのプリンシパルと共有できるリソースの詳細については、「共有可能な AWS リソース」を参照してください。

  • 各リソースタイプに関連付ける AWS RAM アクセス許可。これは、他のアカウントのプリンシパルがリソース共有内のリソースで何ができるかを決定する AWS マネージドアクセス許可です。

    アクセス許可の動作は、プリンシパルのタイプによって異なります。

    • プリンシパルのアカウントがリソースを所有するアカウントと異なる場合、リソース共有に割り当てられた権限は、そのアカウントのロールとユーザーに付与できる最大権限になります。次に、これらのアカウントの管理者は、IAM アイデンティティベースのポリシーを使用して、個々のロールとユーザーに共有リソースへのアクセス権を付与する必要があります。これらのポリシーで付与される権限は、リソース共有にアタッチされた権限で定義されている権限を超えることはできません。

    • プリンシパルがリソースを所有するアカウントであれば、権限内のリソースベースのポリシーで十分であり、同じアカウントのすべてのロールとユーザーには、リソース共有にアタッチされた権限で定義されたアクセス権が自動的に付与されます。

共有アカウントは、共有するリソースの完全な所有権を保持します。

共有リソースの使用

リソースの所有者がリソースをアカウントと共有すると、自分のアカウントが所有している場合と同じように共有リソースにアクセスできます。リソースへのアクセスは、該当するサービスのコンソール、AWS Command Line Interface (AWS CLI) コマンド、API オペレーションを介して可能です。自分のアカウント内のプリンシパルが実行できるAPI オペレーションは、リソースのタイプによって異なり、リソース共有に付いているAWS RAMアクセス許可によって指定されます。アカウントで設定されているすべての IAM ポリシーとサービスコントロールポリシーも継続的に適用されます。これにより、セキュリティとガバナンスのコントロールに対する既存の投資を活用できます。

そのリソースのサービスを使用して共有リソースにアクセスする場合、AWS アカウントそのリソースを所有するユーザーと同じ能力と制限が適用されます。

  • リソースが Regional の場合、AWS リージョン所有アカウントにあるリソースからのみアクセスできます。

  • リソースがグローバルの場合は、AWS リージョンそのリソースのサービスコンソールとツールがサポートするどこからでもアクセスできます。AWS RAMコンソールとツールでリソース共有とそのグローバルリソースを表示および管理できるのは、指定されたホームリージョンである米国東部 (バージニア北部) のみであることに注意してくださいus-east-1

AWS RAM へのアクセス

AWS RAM は次のいずれかの方法で使用できます。

AWS RAM コンソール

AWS RAM には、AWS RAM コンソールというウェブベースのユーザーインターフェイスがあります。AWS アカウント にサインアップ済みの場合、AWS Management Console にサインインし、 コンソールのホームページから AWS RAM を選択することで、AWS RAM コンソールにアクセスできます。

また、ブラウザでAWS RAM コンソールに直接移動することもできます。まだサインインしていない場合、コンソールが表示される前にログインするように求められます。

AWS CLIとウィンドウズ用ツール PowerShell

AWS CLIと Tools for PowerShell は、AWS RAMのパブリック API オペレーションへの直接アクセスを提供します。 AWSは、Windows、macOS、Linux でサポートされています。開始方法の詳細については、AWS Command Line Interface ユーザーガイドまたはAWS Tools for Windows PowerShell ユーザーガイドを参照してください。AWS RAM 用のコマンドの詳細については、AWS CLI コマンドリファレンスまたはAWS Tools for Windows PowerShell コマンドレットリファレンスを参照してください。

AWS SDK

AWS は、一連のプログラミング言語に対応する API コマンドを提供します。開始方法の詳細については、AWS SDK とツールのリファレンスガイドを参照してください。

Query API

サポートされているプログラミング言語のいずれも使用しない場合、AWS RAM HTTPS クエリ API を介して AWS RAM および AWS へのプログラムによるアクセスが可能です。AWS RAM API によって、HTTPS リクエストをサービスに直接発行できます。AWS RAM API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。詳細については、AWS RAM API リファレンスを参照してください。

料金

AWS RAM を使用してアカウント間でリソースを共有する際に追加料金はかかりません。リソースの利用料金はリソースのタイプによって異なります。AWS共有可能なリソースの料金請求の詳細については、リソース所有サービスのドキュメントを参照してください。

コンプライアンスと国際規格

PCI DSS

AWS Resource Access Manager(AWS RAM) は、マーチャントまたはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、および伝送をサポートしており、Payment Card Standard (PCI) Data Security Standard (DSS) に準拠していることが確認されています。

PCI DSS の詳細 (AWS PCI Compliance Package のコピーをリクエストする方法など) については、「PCI DSS レベル 1」を参照してください。

FedRAMP

AWS Resource Access Managerは、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (北部)、米国西部 (北部)、米国西部 (オレゴン) で FedRAMP モデレートとして認定されています。AWS リージョン

AWS RAMはAWS GovCloud (米国西部) およびAWS GovCloud (米国東部) で FedRAMP High として認定されています。AWS リージョン

Federal Risk and Authorization Management Program (FedRAMP) は米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認証、および継続的なモニタリングに関する標準アプローチを提供しています。

FedRAMP のコンプライアンスの詳細については、「FedRAMP コンプライアンス」を参照してください。

SOC と ISO 西部

AWS Resource Access Managerサービス組織管理(SOC)および国際標準化機構(ISO)ISO 9001、ISO 27001、ISO 27017、ISO 27018、ISO 27701規格への準拠の対象となるワークロードに使用できます。金融、医療、その他の規制対象分野のお客様は、顧客データを保護するセキュリティプロセスと管理に関する洞察を得ることができます。これらの情報は、のSOCレポート、AWS ISO、CSA STAR証明書に記載されていますAWS Artifact

SOC のコンプライアンスの詳細については、「SOC コンプライアンス」を参照してください。

ISO コンプライアンスの詳細については、ISO 9001、ISO 27001ISO 27017ISO 27018、および ISO 27701 を参照してください。