AWS Resource Access Manager とは? - AWS Resource Access Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Resource Access Manager とは?

AWS Resource Access Manager (AWS RAM) を使用すると、AWS アカウント 全体、組織または組織単位 (OU) 間、およびサポートされているリソースタイプの AWS Identity and Access Management (IAM) ロールやユーザーと安全にリソースを共有できます。複数の AWS アカウント がある場合、リソースを 1 回作成し、AWS RAM を使用してそのリソースを他のアカウントで使用できるようにすることができます。アカウントが AWS Organizations によって管理されている場合、リソースを共有できる相手は組織内の他のすべてのアカウント、または 1 つまたは複数の指定された組織単位 (OU) に含まれるアカウントのみです。アカウントが組織の一部かどうかにかかわらず、アカウント ID で特定の AWS アカウント と共有することも可能です。サポートされているリソースタイプによっては、指定した IAM ロールやユーザーと共有することもできます。

ビデオの概要

次のビデオでは、AWS RAM の概要とリソース共有の作成方法について説明します。詳細については、「AWS RAM 内でのリソース共有の作成」を参照してください。

次のビデオでは、AWS リソースに AWS 管理アクセス許可を適用する方法について説明します。詳細については、「AWS RAM アクセス許可の管理」を参照してください。

このビデオでは、最小特権のベストプラクティスに従って、カスタマー管理アクセス許可の作成および関連付けを行う方法について説明します。詳細については、「AWS RAM でのカスタマー管理アクセス許可の作成と使用」を参照してください。

AWS RAM の利点

AWS RAM を使用する理由 以下のような利点があります。

  • [Reduces your operational overhead] (運用オーバーヘッドを削減) — リソースを一度作成すれば、AWS RAM を使用してそのリソースを他のアカウントと共有できます。これにより、複製したリソースをすべてのアカウントにプロビジョニングする必要がなくなるため、運用のオーバーヘッドが減少します。リソースを所有するアカウント内で AWS RAM を使用すると、ID ベースのアクセス許可ポリシーを使用しなくても、アカウントのすべてのロールとユーザーへのアクセス許可を簡単に付与できます。

  • [Provides security and consistency] (セキュリティと一貫性を確保) - 単一のポリシーとアクセス許可セットを使用して、共有リソースのセキュリティ管理を簡素化します。代わりに、個別のすべてのアカウントに重複リソースを作成しようとする場合、同じポリシーとアクセス許可を実装するタスクがあり、それらのアカウント全体で同じリソースを維持する必要があります。代わりに、AWS RAM リソース共有のすべてのユーザーは、単一のポリシーとアクセス許可のセットで管理されます。AWS RAM は、異なるタイプの AWS リソースを共有する一貫したエクスペリエンスを提供します。

  • [Provides visibility and auditability] (可視性と可監査性を提供) – AWS RAM と Amazon CloudWatch の統合および AWS CloudTrail を介して共有リソースの使用状況の詳細が表示されます。AWS RAM は、共有リソースとアカウントの包括的な可視性を提供します。

リソースベースのポリシーによるクロスアカウントアクセス

ユーザーは、AWS アカウント の外の AWS Identity and Access Management (IAM) プリンシパル (IAM ロールおよびユーザー) を識別するリソースベースのポリシーをアタッチすることで、AWS リソースの一部のタイプを他の AWS アカウント と共有できます。しかし、ポリシーのアタッチによるリソースの共有では、AWS RAM が提供する付加的な利点を活かせません。AWS RAM を使用すると、以下の機能を利用できるようになります。

  • 全員の AWS アカウント ID を列挙しなくても、組織または組織単位 (OU) と共有できます。

  • ユーザーからは、共有されたリソースを発信元の AWS のサービス コンソールや API オペレーションで、あたかもそのリソースがユーザーのアカウント内に直接存在するかのように見えます。例えば、AWS RAM を使用して Amazon VPC サブネットを別のアカウントと共有する場合、そのアカウントのユーザーは、Amazon VPC コンソール、およびそのアカウントで実行された Amazon VPC API オペレーションの結果でサブネットを確認できます。リソースベースのポリシーをアタッチして共有されたリソースはこのように表示されることはなく、代わりに Amazon リソースネーム (ARN) によってリソースを検出して明示的に参照する必要があります。

  • リソースの所有者は、共有した個々のリソースにアクセスできるプリンシパルを確認できます。

  • 組織外のアカウントとリソースを共有すると、AWS RAM によって招待プロセスが開始されます。プリンシパルが共有リソースにアクセスできるようにするには、受信者は招待を受け入れる必要があります。組織内での共有機能を有効にすると、組織内のアカウントと共有する際に招待を受ける必要がなくなります。

リソースベースのアクセス許可ポリシーを使用して共有したリソースでは、次のいずれかを実行して、それらのリソースをフルマネージド AWS RAM リソースにすることができます。

リソース共有のしくみ

所有アカウントのリソースを別の AWS アカウント (コンシューマーアカウント) と共有する場合、コンシューマーアカウントのプリンシパルに共有リソースへのアクセス許可を付与することになります。コンシューマーアカウントのロールとユーザーに適用されるすべてのポリシーとアクセス許可は、共有リソースにも適用されます。共有内のリソースは、共有した AWS アカウント 内にあるネイティブのリソースのように見えます。

グローバルリソースとリージョナルリソースの両方を共有できます。詳細については、「リージョナルリソースの共有とグローバルリソースの共有の比較」を参照してください。

リソースの共有

AWS RAM を使用したリソース共有。これにより、自身が所有するリソースを共有できます。リソース共有を作成するには、以下を指定します。

  • リソース共有を作成する AWS リージョン。コンソールの右上隅にある [リージョン] ドロップダウンメニューで選択します。AWS CLI で、--region パラメータを使用します。

    • リソース共有には、そのリソース共有と同じ AWS リージョン にあるリージョナルリソースのみを含めることができます。

    • リソース共有にグローバルリソースを含めることができるのは、そのリソース共有がグローバルリソースのホームである米国東部 (バージニア北部) us-east-1 にある場合のみです。

  • リソース共有の名前。

  • このリソース共有の一部としてアクセス権を付与したいリソースのリスト。

  • リソース共有へのアクセス権の付与先になるプリンシパル。プリンシパルとなれるものは、個々の AWS アカウント、AWS Organizations 内の組織または組織単位 (OU) のアカウント、または個々の AWS Identity and Access Management (IAM) す。

    注記

    すべてのリソースタイプを IAM ロールやユーザーと共有できるわけではありません。これらのプリンシパルと共有できるリソースの詳細については、「共有可能な AWS リソース」を参照してください。

  • リソース共有に含まれるリソースタイプごとに、1 つの管理アクセス許可のみを関連付けることができます。他のアカウントのプリンシパルがリソース共有のリソースで実行できる操作は、管理アクセス許可によって決まります。

    アクセス許可の動作はプリンシパルのタイプによって異なります。

    • プリンシパルがリソースを所有しているアカウントとは別のアカウントに属している場合、リソース共有にアタッチされたアクセス許可が、それらのアカウントのロールとユーザーに付与できる最大のアクセス許可になります。その後、それらのアカウントの管理者は、IAM ID ベースのポリシーを使用して、個々のロールとユーザーに共有リソースへのアクセス権を付与する必要があります。これらのポリシーで付与されるアクセス許可は、リソース共有にアタッチされたアクセス許可で定義されているアクセス許可を超えることはできません。

リソース所有アカウントは、共有するリソースの完全な所有権を保持します。

共有リソースの使用

リソースの所有者がそのリソースをアカウントと共有している場合、ユーザーは、自分のアカウントが所有している場合と同じように、共有リソースにアクセスできます。リソースへのアクセスは、該当するサービスのコンソール、AWS CLI コマンド、API オペレーションを介して可能です。自分のアカウント内のプリンシパルが実行できる API オペレーションは、リソースのタイプによって異なり、リソース共有に付いている AWS RAM アクセス許可によって指定されます。アカウントで設定されているすべての IAM ポリシーとサービスコントロールポリシーも継続的に適用されます。これにより、セキュリティとガバナンスのコントロールに対する既存の投資を活用できます。

リソースのサービスを使用して共有リソースにアクセスする場合、そのリソースを所有する AWS アカウント と同じ能力と制限が適用されます。

  • リージョナルリソースの場合は、そのリソースを所有しているアカウント内の AWS リージョン からのみアクセスできます。

  • グローバルリソースの場合は、そのリソースのサービスコンソールとツールがサポートするすべての AWS リージョン からアクセスできます。リソース共有とそのグローバルリソースは、指定されたホームリージョンである米国東部 (バージニア北部) us-east-1 の AWS RAM コンソールとツールでのみ表示できます。

AWS RAM へのアクセス

AWS RAM は次のいずれかの方法で使用できます。

AWS RAM コンソール

AWS RAM には、AWS RAM コンソールというウェブベースのユーザーインターフェイスがあります。AWS アカウント にサインアップ済みの場合、AWS Management Console にサインインし、 コンソールのホームページから AWS RAM を選択することで、AWS RAM コンソールにアクセスできます。

また、ブラウザでAWS RAM コンソールに直接移動することもできます。まだサインインしていない場合、コンソールが表示される前にログインするように求められます。

AWS CLI と Tools for Windows PowerShell

AWS CLI および AWS Tools for PowerShell は、AWS RAM パブリック API オペレーションへの直接アクセスを提供します。AWS は、Windows、macOS、Linux でこれらのツールをサポートします。開始方法の詳細については、AWS Command Line Interface ユーザーガイドまたはAWS Tools for Windows PowerShell ユーザーガイドを参照してください。AWS RAM 用のコマンドの詳細については、AWS CLI コマンドリファレンスまたはAWS Tools for Windows PowerShell コマンドレットリファレンスを参照してください。

AWS SDK

AWS は、一連のプログラミング言語に対応する API コマンドを提供します。開始方法の詳細については、「AWS SDKs と ツールのリファレンスガイド」を参照してください。

Query API

サポートされているプログラミング言語のいずれも使用しない場合、AWS RAM HTTPS クエリ API を介して AWS RAM および AWS へのプログラムによるアクセスが可能です。AWS RAM API によって、HTTPS リクエストをサービスに直接発行できます。AWS RAM API を使用する場合は、認証情報を使用してリクエストにデジタル署名するコードを含める必要があります。詳細については、AWS RAM API リファレンスを参照してください。

AWS RAM の料金

AWS RAM を使用してアカウント間でリソースを共有する際に追加料金はかかりません。リソースの利用料金はリソースのタイプによって異なります。共有可能なリソースについての AWS の料金請求の詳細については、リソースを所有するサービスのドキュメントを参照してください。

コンプライアンスと国際規格

PCI DSS

AWS RAM は、加盟店またはサービスプロバイダーによるクレジットカードデータの処理、ストレージ、および送信をサポートし、Payment Card Industry (PCI) データセキュリティスタンダード (DSS) に準拠していることが検証されています。

PCI DSS の詳細 (AWS PCI Compliance Package のコピーをリクエストする方法など) については、「PCI DSS レベル 1」を参照してください。

FedRAMP

AWS RAM は、以下の AWS リージョン で FedRAMP Moderate として認可されています。米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)。

AWS RAM は、以下の AWS リージョン で FedRAMP High として認可されています。AWS GovCloud (US-West) および AWS GovCloud (US-East)。

Federal Risk and Authorization Management Program (FedRAMP) は米国政府全体のプログラムであり、クラウドの製品やサービスに対するセキュリティ評価、認証、および継続的なモニタリングに関する標準アプローチを提供しています。

FedRAMP コンプライアンスの詳細については、「FedRAMP」を参照してください。

SOC および ISO

AWS RAM は、Service Organization Controls (SOC) コンプライアンスおよび国際標準化機構 (ISO) 規格 ISO 9001、ISO 27001、ISO 27017、ISO 27018、および ISO 27701 で規定されている対象ワークロードに使用できます。金融、ヘルスケア、その他の規制分野のお客様は、AWS Artifact の SOC レポート、AWS ISO、CSA STAR 証明書で確認できる、顧客データを保護するセキュリティプロセスやコントロールに関するインサイトを得ることができます。

SOC コンプライアンスの詳細については、「SOC」を参照してください。

ISO コンプライアンスの詳細については、「ISO 9001」、「ISO 27001」、「ISO 27017」、「ISO 27018」、および 「ISO 27701」を参照してください。