Resource Explorer ビューの共有 - AWS Resource Explorer
AWS アカウントとビューを共有するための権限ポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Resource Explorer ビューの共有

のビューは、 AWS Resource Explorer 主にリソースベースのポリシーを使用してアクセスを許可します。Amazon S3 バケットポリシーと同様に、これらのポリシーはビューにアタッチされて、ビューを使用できるユーザーを指定します。これは (IAM) アイデンティティベースのポリシーとは AWS Identity and Access Management 対照的です。IAM ID ベースのポリシーは、ロール、グループ、またはユーザーに割り当てられ、そのロール、グループ、またはユーザーがアクセスできるアクションとリソースを指定します。以下のように、Resource Explorer ビューではどちらのタイプのポリシーも使用できます。

  • リソースを所有する管理アカウントまたは委任管理者アカウント内では、いずれかのポリシータイプを使用してアクセスを許可します。ただし、そのプリンシパルのビューへのアクセスを明示的に拒否するポリシーが他にない場合に限ります。

  • どのアカウントでも、両方のポリシータイプを使用する必要があります。共有アカウントのビューにアタッチされたリソースベースのポリシーは、別の消費アカウントとの共有を有効にします。ただし、そのポリシーでは、消費アカウント内の個々のユーザーやロールにはアクセス許可が付与されません。消費側アカウントの管理者が、消費側アカウント内の必要なロールとユーザーに ID ベースのポリシーを割り当てる必要があります。このポリシーは、ビューの Amazon リソース名 (ARN) へのアクセスを許可します。

ビューを他のアカウントと共有するには、 AWS Resource Access Manager (AWS RAM) を使用する必要があります。 はリソースベースのポリシーの複雑さ AWS RAM に対処します。共有する前に、次のタスクを実行する必要があります。

  • マルチアカウント検索 を有効にします

  • リソースベースのポリシー、またはビューの共有と共有解除に使用するIAMアイデンティティベースのポリシーにresource-explorer-2:GetResourcePolicy、、resource-explorer-2:PutResourcePolicyおよび アクセスresource-explorer-2:DeleteResourcePolicy許可が含まれていることを確認します。

ビューを共有するには、組織の管理アカウントまたは委任管理者アカウントにサインインする必要があります。リソースを共有するアカウントまたは ID を指定します。 は、共有するプリンシパルのタイプに基づいて、以下のセクションで説明されているようなポリシーを Resource Explorer views. AWS RAM uses で AWS RAM 完全にサポートします。リソースを共有する方法については、「AWS Resource Access Manager ユーザーガイド」の「AWS リソースの共有」を参照してください。

管理者および委任管理者は、組織範囲のビュー、組織単位 (OU) 範囲のビュー、アカウントレベル範囲のビューの 3 種類のビューを作成して共有できます。組織、OUs、または アカウントと共有できます。アカウントが組織に参加または組織を離れると、 は共有ビュー AWS RAM を自動的に付与または取り消します。

AWS アカウントとビューを共有するための権限ポリシー

次のポリシー例は、2 つの異なる のプリンシパルがビューを使用できるようにする方法を示しています AWS アカウント。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}

指定した各アカウントの管理者は、ID ベースのアクセス許可ポリシーをロール、グループ、およびユーザーにアタッチすることにより、どのロールやユーザーがビューにアクセスできるかを指定する必要があります。111122223333 または 444455556666 アカウントの管理者は、以下のサンプルポリシーを作成できます。次に、元のアカウントから共有されているビューを使用して検索できるアカウントのロール、グループ、ユーザーにポリシーを割り当てることができます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}

これらのIAMアイデンティティベースのポリシーは、属性ベースのアクセスコントロール (ABAC) セキュリティ戦略の一部として使用できます。このパラダイムでは、すべてのリソースとすべての ID にタグが付けられていることを確認してください。次に、アクセスを許可するのに ID とリソース間でどのタグキーと値が一致する必要があるかをポリシー内で指定します。アカウント内のビューにタグを付ける方法については、「ビューへのタグの追加」を参照してください。属性ベースのアクセスコントロールの詳細については、IAM「 ユーザーガイド」の「 ABACとは AWS」および「 タグ を使用した AWS リソースへのアクセスの制御」を参照してください。