AWS RAM 内のリソース共有を更新します。 - AWS Resource Access Manager

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS RAM 内のリソース共有を更新します。

AWS RAM 内のリソース共有は、以下の方法でいつでも更新できます。

  • 作成したリソース共有にプリンシパル、リソース、またはタグを追加できます。

  • デフォルトの AWS 管理アクセス許可以外をサポートするリソースタイプでは、各リソースタイプに適用する管理アクセス許可を選択できます。

  • リソース共有にアタッチされている管理アクセス許可に新しいデフォルトバージョンがある場合は、管理アクセス許可を更新して新しいバージョンを使用できます。

  • リソース共有 からプリンシパルまたはリソースを削除することで、共有リソースへのアクセスを取り消すことができます。アクセスを取り消すと、プリンシパルは共有リソースにアクセスできなくなります。

注記

リソースを共有する相手のプリンシパルは、共有が空の場合、またはリソース共有の終了をサポートするリソースタイプのみが含まれている場合、リソース共有を終了できます。終了をサポートしていないリソースタイプがリソース共有に含まれている場合、プリンシパルには共有所有者に連絡する必要があることを知らせるメッセージが表示されます。この場合、リソース共有の所有者は、リソース共有からプリンシパルを削除する必要があります。このアクションがサポートされないリソースタイプのリストについては、「リソース共有を終了するための前提条件」を参照してください。

Console
リソース共有を更新するには

  1. AWS RAM コンソールで [Shared by me : Resource shares] (自分が共有: リソース共有) に移動します。

  2. AWS RAM リソース共有は特定の AWS リージョン 内に存在するので、コンソール右上のドロップダウンリストから適切な AWS リージョン を選択してください。グローバルリソースを含むリソース共有を表示するには、AWS リージョン を米国東部 (バージニア北部) (us-east-1) に設定する必要があります。グローバルリソース共有の詳細については、「リージョナルリソースの共有とグローバルリソースの共有の比較」を参照してください。

  3. リソース共有を選択してから [Modify] (変更) を選択します。

  4. [Step 1: Specify resource share details] (ステップ 1: リソース共有の詳細を指定する) で、リソース共有の詳細を見直し、必要に応じて以下のいずれかを更新します。

    1. (オプション) リソース共有の名前を変更するには、[Name] (名前) を編集します。

    2. (オプション) リソース共有にリソースを追加するには、[Resources] (リソース) の下でリソースのタイプを選択してからリソースの横にあるチェックボックスをオンにします。グローバルリソースは、AWS Management Console でリージョンを米国東部 (バージニア北部) (us-east-1) に設定した場合にのみ表示されます。

    3. (オプション) リソース共有からリソースを削除するには、[Selected resources] (選択されたリソース) の下でリソースを見つけてからリソースの ID の横にある [X] を選択します。

    4. (オプション) リソース共有にタグを追加するには、[Tags] (タグ) の下にある空のテキストボックスにタグのキーと値を入力します。タグのキーと値のペアを複数追加するには、[Add new tag] (新しいタグを追加) を選択します。最大 50 個のタグを追加できます。

    5. リソース共有からタグを削除するには、[Tags] (タグ) の下で削除したいタグを見つけてその横にある [Remove] (削除) をクリックします。

  5. [Next] (次へ) をクリックします。

  6. (オプション) 「手順 2: 管理アクセス許可を各リソースタイプに関連付ける」では、AWS で作成された管理アクセス許可をリソースタイプに関連付けるか、既存のカスタマー管理アクセス許可を選択するか、独自のカスタマー管理アクセス許可を作成するかを選択できます。詳細については、「管理アクセス許可のタイプ」を参照してください。

    [カスタマー管理アクセス許可の作成] を選択して、共有ユースケースの要件を満たすカスタマー管理アクセス許可を作成することもできます。詳細については、「カスタマー管理アクセス許可を作成する」を参照してください。プロセスが完了したら Refresh icon を選択し、[管理アクセス許可] ドロップダウンリストから新しいカスタマー管理アクセス許可を選択します。

    管理アタッチで許可されているアクションを表示するには、[この管理アタッチのポリシーテンプレートを表示] を展開します。

  7. リソース共有に現在割り当てられている管理アクセス許可のバージョンが現在のデフォルトバージョンでない場合は、[デフォルトバージョンに更新] を選択してデフォルトバージョンに更新できます。

    注記

    最後のステップを終えてリソース共有に変更を保存するまでは、[以前のバージョンに戻す] を選択してバージョンの更新をキャンセルできます。ただし AWS 管理アクセス許可の場合、リソース共有を保存すると、変更は確定し、以前のバージョンに戻ることはできなくなります。

  8. [Next] (次へ) をクリックします。

  9. [Step 3: Choose principals that are allowed to access] (ステップ 3: アクセスを許可するプリンシパルを選択する) で、選択したプリンシパルを見直し、必要に応じて以下のいずれかを更新します。

    1. (オプション) 組織内外のプリンシパルとの共有の有効化を変更するには、以下のオプションのいずれかを選択します。

      • 組織外の AWS アカウント、または個々の IAM ロール/ユーザーとリソースを共有するには、[外部のプリンシパルとの共有を許可] を選択します。

      • AWS Organizations 内の組織内のプリンシパルのみにリソース共有を制限するには、[Allow sharing with principals in your organization only] (組織内のプリンシパルとの共有のみを許可する) を選択します。

    2. [Principals] (プリンシパル) について、以下の操作をします。

      • (オプション) 組織、組織単位 (OU)、または組織内のメンバー AWS アカウント を追加するには、[組織構造を表示] をオンにして組織図のツリーを表示します。次いで、追加したい各プリンシパルの横にあるチェックボックスをオンにします。

        重要

        組織または OU と共有し、スコープにリソース共有を所有するアカウントが含まれる場合、共有アカウントのすべてのプリンシパルは、共有内のリソースに自動的にアクセスできるようになります。付与されるアクセスは、共有に関連付けられている管理アクセス許可によって定義されます。これは、共有内の各リソースに AWS RAM がアタッチするリソースベースのポリシーで "Principal": "*" が使用されるためです。詳細については、「"Principal": "*" をリソースベースのポリシーで使用することの影響」を参照してください。

        他のコンシューマーアカウントのプリンシパルは、共有のリソースにすぐにはアクセスできません。他のアカウントの管理者は、まず ID ベースのアクセス許可ポリシーを適切なプリンシパルにアタッチする必要があります。これらのポリシーは、リソース共有内の個々のリソース ARN への Allow アクセスを付与する必要があります。これらのポリシーのアクセス許可は、リソース共有に関連付けられた管理アクセス許可で指定されているアクセス許可を超えることはできません。

        注記

        [Display organizational structure] (組織構造の表示) トグルが表示されるのは、AWS Organizations との共有が有効になっていて、組織の管理アカウントにプリンシパルとしてサインインしているときのみです。

        この方法で組織外の AWS アカウント または IAM ロール/ユーザーを指定することはできません。代わりに、プリンシパルの識別子を入力することでこれらのプリンシパルを追加する必要があり、識別子は [Display organizational structure](組織構造の表示) スイッチの下にあるテキストボックスに表示されます。次の箇条書きを参照してください。

      • (オプション) 識別子でプリンシパルを追加するには、ドロップダウンリストでプリンシパルタイプを選択してからプリンシパルの ID または ARN を入力します。最後に、[Add] (追加) を選択します。

        個々の AWS アカウント を選択した場合、そのアカウントのみがリソース共有にアクセスできます。次のオプションのいずれかを選択できます。

        • 別の AWS アカウント (リソース所有者以外) — リソースを他のアカウントが使用できるようにします。アカウントの管理者は、ID ベースのアクセス許可ポリシーを使用して、共有リソースへのアクセスを個々のロールやユーザーに付与して、プロセスを完了する必要があります。これらのアクセス許可は、リソース共有にアタッチされた管理アクセス許可で定義されているアクセス許可を超えることはできません。

        • この AWS アカウント (リソース所有者) — リソース所有アカウントのすべてのロールとユーザーには、リソース共有にアタッチされた管理アクセス許可によって定義されたアクセスが自動的に付与されます。

      • 追加内容は直ちに [Selected principals] (選択されたプリンシパル) リストに表示されます。

        その後、この手順を繰り返して、アカウント、OU、または組織を追加できます。

      • (オプション) プリンシパルを削除するには、[Selected principals] (選択されたプリンシパル) から対象のプリンシパルを見つけて、チェックボックスをオンにしてから [Deselect] (選択解除) を選択します。

  10. [Next] (次へ) をクリックします。

  11. [Step 4: Review and create] (ステップ 4: 確認して更新する) で、リソース共有に関する設定の詳細を見直します。

  12. 任意のステップについて設定を変更するには、戻りたいステップに対応するリンクを選択して必要なだけ変更を加えます。

    管理アクセス許可でデフォルト以外のバージョンを使用している場合は、[デフォルトバージョンに更新] を選択して変更することもできます。

  13. 変更が終わったら [Update resource share] (リソース共有の更新) を選択します。

AWS CLI
リソース共有を更新するには

以下の AWS CLI コマンドを使用してリソース共有を変更できます。

  • リソース共有の名前を変更したり、外部プリンシパルを許可するかどうかを変更するには、update-resource-share コマンドを使用します。次の例では、指定したリソース共有の名前を変更し、その組織のプリンシパルのみを許可するように設定します。リソース共有を含む AWS リージョン のサービスエンドポイントを使用する必要があります。

    $ aws ram update-resource-share \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE \
    --name "my-renamed-resource-share" \
    --no-allow-external-principals
{
    "resourceShare": {
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "name": "my-renamed-resource-share",
        "owningAccountId": "123456789012",
        "allowExternalPrincipals": false,
        "status": "ACTIVE",
        "creationTime": 1565295733.282,
        "lastUpdatedTime": 1565303080.023
    }
}

  • リソース共有にリソースを追加するには、associate-resource-share コマンドを使用します。次の例では、指定したリソース共有にサブネットを追加します。

    $ aws ram associate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "ASSOCIATING",
        "external": false
    ]
}

  • リソース共有内のリソースタイプの管理アクセス許可を追加または置換するには、list-permissions コマンドおよび associate-resource-share-permission コマンドを使用します。リソース共有では、リソースタイプごとに 1 つの管理アクセス許可のみを割り当てることができます。既に管理アクセス許可を持っているリソースタイプに管理アクセス許可を追加しようとすると、--replace オプションを含まない場合はエラーが発生してコマンドが失敗します。

    次のコマンド例では、Amazon Elastic Compute Cloud (Amazon EC2) サブネットで使用可能な管理アクセス許可の ARN をリスト化し、これらの ARN のいずれかを使用して、指定されたリソース共有内のそのリソースタイプに現在割り当てられている AWS 管理アクセス許可を置き換えます。

    $ aws ram list-permissions \
    --resource-type ec2:Subnet
{
    "permissions": [
        {
            "arn": "arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet",
            "version": "1",
            "defaultVersion": true,
            "name": "AWSRAMDefaultPermissionSubnet",
            "resourceType": "ec2:Subnet",
            "creationTime": "2020-02-27T11:38:26.727000-08:00",
            "lastUpdatedTime": "2020-02-27T11:38:26.727000-08:00"
        }
    ]
}
$ aws ram associate-resource-share-permission \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --permission-arn arn:aws:ram::aws:permission/AWSRAMDefaultPermissionSubnet
{
    "returnValue": true
}

  • リソース共有からリソースを削除するには、disassociate-resource-share コマンドを使用します。次の例では、指定したリソース共有から指定した ARN を持つ Amazon EC2 サブネットを削除します。

    $ aws ram disassociate-resource-share \
    --region us-east-1 \
    --resource-arns arn:aws:ec2:us-east-1:123456789012:subnet/subnet-0250c25a1f4e15235 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE
{
    "resourceShareAssociations": [
        "resourceShareArn": "arn:aws:ram:us-east-1:123456789012:resource-share/7ab63972-b505-7e2a-420d-6f5d3EXAMPLE",
        "associatedEntity": "arn:aws:ec2:us-east-1:ubnet/subnet-0250c25a1f4e15235",
        "associationType": "RESOURCE",
        "status": "DISASSOCIATING",
        "external": false
    ]
}

  • リソース共有にアタッチされたタグを変更するには、tag-resource コマンドおよび untag-resource コマンドを使用します。次の例では、指定されたリソース共有にタグ project=lima を追加します。

    $ aws ram tag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tags key=project,value=lima

    次の例では、指定されたリソース共有から project のキーを持つタグを削除します。

    $ aws ram untag-resource \
    --region us-east-1 \
    --resource-share-arn arn:aws:ram:us-east-1:123456789012:resource-share/f1d72a60-da19-4765-b4f9-e27b658b15b8 \
    --tag-keys=project

    タグ付けコマンドが成功した場合、出力は生成されません。