Q: AWS Resource Access Manager とは何ですか?

A: AWS Resource Access Manager (RAM) は、組織内の AWS アカウント間または AWS Organizations 内の組織単位 (OU) 間で、ならびにサポートされているリソースタイプの IAM ロールおよび IAM ユーザーとの間で、リソースを安全に共有するのに役立ちます。AWS RAM を使用して、他の AWS アカウントとリソースを共有できます。これにより、すべてのアカウントでリソースをプロビジョニングおよび管理する必要がなくなります。リソースを他のアカウントと共有する場合は、そのアカウントにリソースへのアクセス権が付与され、そのアカウントのポリシーと許可が共有リソースに適用されます。

Q: AWS RAM を使用してどのようなタイプの AWS リソースを共有できますか?

A: AWS RAM を使用して共有できるリソースタイプについては、AWS Resource Access Manager ユーザーガイドの共有可能な AWS リソースを参照してください。

Q: AWS RAM の使用を開始するにはどうすればよいですか?

A: AWS RAM コンソール、AWS RAM API、AWS CLI、または AWS SDK を使用してリソース共有を作成することで、AWS RAM の使用を開始できます。 リソースをリソース共有に追加し、各リソースタイプに関連付けるためのマネージド許可を選択し、リソースにアクセスするユーザーを指定することで、リソースを簡単に共有できます。

Q: 誰とリソースを共有できますか?

A: 任意の AWS アカウントとリソースを共有できます。AWS Organizations の組織の一部であり、組織内での共有が有効になっている場合は、OU または組織全体とリソースを共有することもできます。サポートされているリソースタイプについては、IAM ロールおよび IAM ユーザーとリソースを共有することもできます。組織外のアカウントとリソースを共有している場合、それらのアカウントはリソース共有に参加するための招待を受け取ります。招待を承諾すると、共有リソースの使用を開始できます。

Q: AWS RAM マネージド許可とは何ですか?

A: AWS RAM マネージドアクセス許可は、共有リソースで実行できるアクションを定義します。リソース共有を作成するときは、マネージド許可をリソース共有の各リソースタイプに関連付けます。すべてのリソースタイプには、デフォルトのマネージド許可があります。一部のリソースタイプは、選択可能な追加のマネージド許可を提供します。例えば、AWS Certificate Manager Private Certificate Authority (ACM PCA) リソースタイプを共有する場合、特定のチームメンバーに証明書を取り消すための権限を付与することなく、当該メンバーがクライアント証明書を発行することを許可することができます。その後、証明書を取り消す権限を含むマネージドアクセス許可を使用して、管理者と同じ ACM PCA リソースを共有できます。これは、最小権限、または共有リソースへのアクセスに必要な最小限の許可を付与するというベストプラクティスに従うものです。

Q: アカウントで共有しているリソースを確認するにはどうすればよいですか?

A: AWS RAM コンソールで、または AWS RAM API、AWS CLI、もしくは AWS SDK を使用して、アカウントと共有されているリソースを表示できます。各リソースのコンソールページとそのリソースタイプの各 List/Describe API にも、アカウントで共有しているリソースが表示されます。例えば、Amazon Route 53 Resolver ルールがアカウントと共有されている場合、そのルールは、その AWS アカウントが所有する他のルールとともに Amazon Route 53 コンソールの Resolver ページに表示されます。さらに、Amazon Route 53 ListResolverRules API アクションを使用する場合、共有ルールも応答で返されます。

Q: リソースを他の AWS アカウントと共有すると料金が発生しますか?

A: いいえ。追加料金なしでリソースを共有できます。

Q: 共有しているリソースへのアクセスを制御するにはどうすればよいですか?

A: IAM ポリシーを指定して、共有しているリソースへのアクセスを制御できます。

Q: リソースの共有を停止できますか?

A: はい。リソース共有からリソースを削除するか、リソース共有を削除すると、リソースの共有を停止できます。

Q: リソース共有の変更を監視するにはどうすればよいですか?

A: AWS RAM API へのすべての呼び出しは AWS CloudTrail のログに記録されます。さらに、リソース共有に変更があるたびに Amazon CloudWatch Events がトリガーされます。詳細については、AWS Resource Access Manager ユーザーガイドの AWS RAM のログ記録とモニタリングを参照してください。 

Standard Product Icons (Features) Squid Ink
ドキュメントを確認する

AWS Resource Access Manager の詳細については、ドキュメントをご覧ください。

詳細 
Sign up for a free account
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Standard Product Icons (Start Building) Squid Ink
AWS リソースの共有を開始する

AWS コンソールでリソースの共有を開始します

サインイン