VPC Lattice リソースを共有する - Amazon VPC Lattice
前提条件リソースを共有するリソースの共有を停止する責任と権限クロスアカウントイベント

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC Lattice リソースを共有する

Amazon VPC Lattice は AWS Resource Access Manager (AWS RAM) と統合してリソース共有を可能にします。AWS RAM は、VPC Lattice リソースの一部を他の AWS アカウント と、または AWS Organizations を通じて共有できるようにするサービスです。AWS RAM を使用したリソース共有。これにより、自身が所有するリソースを共有できます。リソース共有は、共有するリソースと、それらを共有するコンシューマーを指定します。コンシューマーには以下が含まれます。

  • AWS Organizations の組織内外の特定の AWS アカウント。

  • AWS Organizations の組織内の組織単位。

  • AWS Organizations の組織全体。

AWS RAM の詳細については、「AWS RAM ユーザーガイド」を参照してください。

VPC Lattice リソースを共有するための前提条件

  • リソースを共有するには、AWS アカウント でそのリソースを所有する必要があります。つまり、自分のアカウントにそのリソースが割り当てられているか、プロビジョニングされている必要があります。自分が共有先になっているリソースを共有することはできません。

  • 自分の組織または AWS Organizations の組織単位とリソースを共有するには、AWS Organizations との共有を有効にする必要があります。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizations 内でリソース共有を有効にする」を参照してください。

VPC Lattice リソースを共有する

リソースを共有するには、AWS Resource Access Manager を使用してリソース共有を作成することから始めます。リソース共有では、共有対象のリソース、リソースを共有するコンシューマー、プリンシパルが実行できるアクションを指定します。

自分が所有する VPC Lattice リソースを他の AWS アカウント と共有すると、それらのアカウントのリソースを自分のアカウントのリソースと関連付けられるようになります。共有リソースに対して関連付けを作成すると、リソース所有者アカウントに Amazon リソースネーム (ARN) が生成され、さらに関連付けを作成したアカウントにも ARN が生成されます。これにより、リソース所有者と関連付けを作成したアカウントの両方が関連付けを削除できます。

自分が AWS Organizations の組織に属していて、組織内での共有が有効になっている場合、組織内のコンシューマーには共有リソースに対するアクセス許可が自動的に付与されます。これに該当しない場合、コンシューマーはリソースへの参加の招待を受け取り、その招待を受け入れた後で、共有リソースに対するアクセス許可が付与されます。

考慮事項

  • サービスネットワークとサービスの 2 種類の VPC Lattice リソースを共有できます。

  • VPC Lattice リソースは任意の AWS アカウント と共有できます。

  • VPC Lattice リソースを個々の IAM ユーザーやロールと共有することはできません。

  • VPC Lattice は、サービスネットワークとサービスの両方について、お客様が管理する権限をサポートします。

VPC Lattice コンソールを使用して自分が所有するリソースを共有するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインの [VPC Lattice] で、[サービス] または [サービスネットワーク] を選択します。

  3. リソースの名前を選択してその詳細ページを開き、[共有] タブから [サービスを共有] または [サービスネットワークを共有] を選択します。

  4. [リソース共有] から AWS RAM リソース共有を選択します。リソース共有を作成するには、[RAM コンソールでリソース共有を作成] を選択します。

  5. [サービスを共有] または [サービスネットワークを共有] を選択します。

AWS RAM コンソールを使用して自分が所有するリソースを共有するには

「AWS RAM ユーザーガイド」の「リソース共有の作成」で説明されている手順を使用します。

AWS CLI を使用して自分が所有するリソースを共有するには

associate-resource-share コマンドを使用します。

VPC Lattice リソースの共有を停止する

自分が所有する VPC Lattice リソースの共有を停止するには、リソース共有から削除する必要があります。リソースの共有を停止しても、既存の関連付けは維持されます。以前に共有していたリソースへの新しい関連付けは許可されません。リソース所有者または関連付け所有者のいずれかが関連付けを削除すると、その関連付けは両方のアカウントから削除されます。アカウント所有者がリソース共有を終了する場合は、リソース共有の所有者にアカウントを削除するように依頼する必要があります。

VPC Lattice コンソールを使用して自分が所有するリソースの共有を停止するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインの [VPC Lattice] で、[サービス] または [サービスネットワーク] を選択します。

  3. リソースの名前を選択して、その詳細ページを開きます。

  4. [共有] タブでリソース共有のチェックボックスをオンにし、[削除] を選択します。

AWS RAM コンソールを使用して自分が所有するリソースの共有を停止するには

「AWS RAM ユーザーガイド」の「リソース共有の更新」を参照してください。

AWS CLI を使用して自分が所有するリソースの共有を停止するには

disassociate-resource-share コマンドを使用します。

責任と権限

共有 VPC Lattice リソースを使用する場合、次の責任と権限が適用されます。

リソース所有者

  • サービスネットワーク所有者は、コンシューマーが作成したサービスを変更できません。

  • サービスネットワーク所有者は、コンシューマーが作成したサービスを削除できません。

  • サービスネットワーク所有者は、サービスネットワークのすべてのサービスの関連付けを記述できます。

  • サービスネットワーク所有者は、関連付けを作成したユーザーに関係なく、サービスネットワークに関連付けられているすべてのサービスの関連付けを解除できます。

  • サービスネットワーク所有者は、サービスネットワークのすべての VPC の関連付けを記述できます。

  • サービスネットワーク所有者は、コンシューマーがサービスネットワークに関連付けた VPC の関連付けを解除できます。

  • サービス所有者は、サービスとのすべてのネットワークの関連付けを記述できます。

  • サービス所有者は、サービスが関連付けられているすべてのサービスネットワークからサービスの関連付けを解除できます。

  • 関連付けを作成したアカウントのみが、サービスネットワークと VPC 間の関連付けを更新できます。

リソースコンシューマー

  • コンシューマーは、自分が作成していないサービスを削除できません。

  • コンシューマーは、自分がサービスネットワークに関連付けたサービスのみを解除できます。

  • コンシューマーとネットワーク所有者は、サービスネットワークとサービスの間のすべての関連付けを記述できます。

  • コンシューマーは、自分が所有していないサービスのサービス情報を取得できません。

  • コンシューマーは、共有サービスネットワークとのすべてのサービスの関連付けを記述できます。

  • コンシューマーは、サービスを共有サービスネットワークに関連付けることができます。

  • コンシューマーは、共有サービスネットワークとのすべての VPC の関連付けを確認できます。

  • コンシューマーは、共有サービスネットワークに VPC を関連付けることができます。

  • コンシューマーは、自分がサービスネットワークに関連付けた VPC のみを解除できます。

  • 共有サービスのコンシューマーは、自分が所有していないサービスネットワークにサービスを関連付けることはできません。

  • 共有サービスネットワークのコンシューマーは、自分が所有していない VPC やサービスを関連付けることはできません。

  • コンシューマーは、共有されているサービスまたはサービスネットワークを記述できます。

  • コンシューマーは、2 つのリソースを共有している場合、両方のリソースを関連付けることはできません。

クロスアカウントイベント

リソース所有者とコンシューマーが共有リソースに対してアクションを実行すると、それらのアクションは AWS CloudTrail のクロスアカウントイベントとして記録されます。

CreateServiceNetworkServiceAssociationBySharee

リソースコンシューマーが共有リソースで CreateServiceNetworkServiceAssociation を呼び出すと、リソース所有者に送信されます。発信者がサービスを所有している場合、イベントはサービスネットワークの所有者に送信されます。発信者がサービスネットワークを所有している場合、イベントはサービスの所有者に送信されます。

CreateServiceNetworkVpcAssociationBySharee

リソースコンシューマーが共有サービスネットワークで CreateServiceNetworkVpcAssociation を呼び出すと、リソース所有者に送信されます。

DeleteServiceNetworkServiceAssociationByOwner

リソース所有者が共有リソースで DeleteServiceNetworkServiceAssociation を呼び出すと、関連付け所有者に送信されます。発信者がサービスを所有している場合、イベントはサービスネットワークの関連付けの所有者に送信されます。発信者がサービスネットワークを所有している場合、イベントはサービスの関連付けの所有者に送信されます。

DeleteServiceNetworkServiceAssociationBySharee

リソースコンシューマーが共有リソースで DeleteServiceNetworkServiceAssociation を呼び出すと、リソース所有者に送信されます。発信者がサービスを所有している場合、イベントはサービスネットワークの所有者に送信されます。発信者がサービスネットワークを所有している場合、イベントはサービスの所有者に送信されます。

DeleteServiceNetworkVpcAssociationByOwner

リソース所有者が共有サービスネットワークで DeleteServiceNetworkVpcAssociation を呼び出すと、関連付け所有者に送信されます。

DeleteServiceNetworkVpcAssociationBySharee

リソースコンシューマーが共有サービスネットワークで DeleteServiceNetworkVpcAssociation を呼び出すと、リソース所有者に送信されます。

GetServiceBySharee

リソースコンシューマーが共有サービスで GetService を呼び出すと、リソース所有者に送信されます。

GetServiceNetworkBySharee

リソースコンシューマーが共有サービスネットワークで GetServiceNetwork を呼び出すと、リソース所有者に送信されます。

GetServiceNetworkServiceAssociationBySharee

リソースコンシューマーが共有リソースで GetServiceNetworkServiceAssociation を呼び出すと、リソース所有者に送信されます。発信者がサービスを所有している場合、イベントはサービスネットワークの所有者に送信されます。発信者がサービスネットワークを所有している場合、イベントはサービスの所有者に送信されます。

GetServiceNetworkVpcAssociationBySharee

リソースコンシューマーが共有サービスネットワークで GetServiceNetworkVpcAssociation を呼び出すと、リソース所有者に送信されます。

以下は、CreateServiceNetworkServiceAssociationBySharee イベントのエントリ例です。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "Unknown"
    },
    "eventTime": "2023-04-27T17:12:46Z",
    "eventSource": "vpc-lattice.amazonaws.com",
    "eventName": "CreateServiceNetworkServiceAssociationBySharee",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "vpc-lattice.amazonaws.com",
    "userAgent": "ec2.amazonaws.com",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "callerAccountId": "111122223333"
    },
    "requestID": "ddabb0a7-70c6-4f70-a6c9-00cbe8a6a18b",
    "eventID": "bd03cdca-7edd-4d50-b9c9-eaa89f4a47cd",
    "readOnly": false,
    "resources": [
        {
            "accountId": "123456789012",
            "type": "AWS::VpcLattice::ServiceNetworkServiceAssociation",
            "ARN": "arn:aws:vpc-lattice:region:123456789012:servicenetworkserviceassociation/snsa-0d5ea7bc72EXAMPLE"
        }
    ],
    "eventType": "AwsServiceEvent",
    "managementEvent": true,
    "recipientAccountId": "123456789012",
    "eventCategory": "Management"
}