AWS Resource Access Manager のよくある質問

Page Topics

リソースの共有
6
マネージド許可
3
請求
1

リソースの共有

AWS RAM を使用して共有できるリソースタイプについては、「AWS Resource Access Manager ユーザーガイド」の「shareable AWS resources」をご覧ください。

任意の AWS アカウントとリソースを共有できます。AWS Organizations の組織の一部であり、組織内での共有が有効になっている場合は、OU または組織全体とリソースを共有することもできます。サポートされているリソースタイプについては、IAM ロールおよび IAM ユーザーとリソースを共有することもできます。組織外のアカウントとリソースを共有している場合、それらのアカウントはリソース共有に参加するための招待を受け取ります。招待を承諾すると、共有リソースの使用を開始できます。

AWS RAM コンソールで、または AWS RAM API、AWS CLI、もしくは AWS SDK を使用して、アカウントと共有されているリソースを表示できます。各リソースのコンソールページとそのリソースタイプの各 List/Describe API にも、アカウントで共有しているリソースが表示されます。例えば、Amazon Route 53 Resolver ルールがアカウントと共有されている場合、そのルールは、その AWS アカウントが所有する他のルールとともに Amazon Route 53 コンソールの Resolver ページに表示されます。さらに、Amazon Route 53 ListResolverRules API アクションを使用する場合、共有ルールも応答で返されます。

IAM ポリシーを指定して、共有しているリソースへのアクセスを制御できます。

はい。リソース共有からリソースを削除するか、またはリソース共有を削除すると、リソースの共有を停止できます。

AWS RAM API に対するすべての呼び出しは AWS CloudTrail のログに記録されます。さらに、リソース共有に変更があるたびに Amazon CloudWatch Events がトリガーされます。詳細については、「AWS Resource Access Manager ユーザーガイド」の「Logging and monitoring in AWS RAM」をご覧ください。

マネージド許可

マネージド許可は、リソース共有でサポートされているリソースタイプについて、どのアクションを、どのような条件で、どのプリンシパルが実行できるかを定義します。AWS 管理権限または顧客管理権限を、AWS RAM を使用してリソース共有内の各リソースタイプに関連付けることができます。詳細については、「Using managed permissions with AWS RAM」をご覧ください。

AWS マネージド許可は AWS によって作成および管理され、多くの一般的な顧客シナリオのために許可を付与します。すべてのリソースタイプには、デフォルトの AWS 管理権限があります。一部のリソースタイプは、選択可能な追加の AWS 管理権限を提供します。例えば、AWS Private Certificate Authority (Private CA) リソースタイプを共有する場合、特定のチームメンバーに証明書を取り消すための権限を付与することなく、当該メンバーがクライアント証明書を発行することを許可することができます。その後、証明書を取り消す権限を含む管理権限を使用して、管理者と同じプライベート CA リソースを共有できます。詳細については、「AWS managed permissions」をご覧ください。

顧客管理権限とは、AWS RAM を使用して共有するリソースに対して、誰がどのような条件で何をできるかを正確に指定して作成および管理する権限です。たとえば、IP アドレスを大規模に管理するのに役立つ Amazon Virtual Private Cloud IP Address Manager (IPAM) プールを共有すると、開発者が IP アドレスを割り当てることができるが、他の開発者アカウントが割り当てた IP アドレスの範囲は表示できないように、顧客管理権限を作成および調整できます。共有リソースでタスクを実行するのに必要な権限のみを付与するという、最小特権のベストプラクティスに従うこともできます。詳細については、カスタマー管理権限を参照してください。

請求

いいえ。追加料金なしでリソースを共有できます。