Q: AWS Resource Access Manager とは何ですか?
A: AWS Resource Access Manager (AWS RAM) は、組織内の AWS アカウント間または AWS Organizations 内の組織単位 (OU) 間で、ならびにサポートされているリソースタイプの IAM ロールおよび IAM ユーザーとの間で、リソースを安全に共有するのに役立ちます。AWS RAM を使用して、他の AWS アカウントとリソースを共有できます。これにより、すべてのアカウントでリソースをプロビジョニングおよび管理する必要がなくなります。リソースを他のアカウントと共有する場合は、そのアカウントにリソースへのアクセス権が付与され、そのアカウントのポリシーと許可が共有リソースに適用されます。
Q: AWS RAM を使用してどのようなタイプの AWS リソースを共有できますか?
A: AWS RAM を使用して共有できるリソースタイプについては、AWS Resource Access Manager ユーザーガイドの共有可能な AWS リソースを参照してください。
Q: AWS RAM の使用を開始するにはどうすればよいですか?
A: AWS RAM コンソール、AWS RAM API、AWS CLI、または AWS SDK を使用してリソース共有を作成することで、AWS RAM の使用を開始できます。 リソースをリソース共有に追加し、各リソースタイプに関連付けるためのマネージド許可を選択し、リソースにアクセスするユーザーを指定することで、リソースを簡単に共有できます。
Q: 誰とリソースを共有できますか?
A: 任意の AWS アカウントとリソースを共有できます。AWS Organizations の組織の一部であり、組織内での共有が有効になっている場合は、OU または組織全体とリソースを共有することもできます。サポートされているリソースタイプについては、IAM ロールおよび IAM ユーザーとリソースを共有することもできます。組織外のアカウントとリソースを共有している場合、それらのアカウントはリソース共有に参加するための招待を受け取ります。招待を承諾すると、共有リソースの使用を開始できます。
Q: 管理権限とは何ですか?
A: 管理権限では、リソース共有でサポートされているリソースタイプについて、どのアクションを、どのような条件で、どのプリンシパルが実行できるかを定義します。AWS 管理権限または顧客管理権限を、AWS RAM を使用してリソース共有内の各リソースタイプに関連付けることができます。詳細については、AWS RAM での管理権限の使用を参照してください。
Q: AWS 管理権限とは何ですか、そしていつ使うべきですか?
A: AWS 管理権限は AWS によって作成および管理され、多くの一般的な顧客シナリオに対して権限を付与します。すべてのリソースタイプには、デフォルトの AWS 管理権限があります。一部のリソースタイプは、選択可能な追加の AWS 管理権限を提供します。例えば、AWS Private Certificate Authority (Private CA) リソースタイプを共有する場合、特定のチームメンバーに証明書を取り消すための権限を付与することなく、当該メンバーがクライアント証明書を発行することを許可することができます。その後、証明書を取り消す権限を含む管理権限を使用して、管理者と同じプライベート CA リソースを共有できます。詳細については、AWS マネージドポリシーを参照してください。
Q: カスタマー管理権限とは何ですか、またどのような場合に使用すべきですか?
顧客管理権限とは、AWS RAM を使用して共有するリソースに対して、誰がどのような条件で何をできるかを正確に指定して作成および管理する権限です。たとえば、IP アドレスを大規模に管理するのに役立つ Amazon Virtual Private Cloud IP Address Manager (IPAM) プールを共有すると、開発者が IP アドレスを割り当てることができるが、他の開発者アカウントが割り当てた IP アドレスの範囲は表示できないように、顧客管理権限を作成および調整できます。共有リソースでタスクを実行するのに必要な権限のみを付与するという、最小特権のベストプラクティスに従うこともできます。詳細については、カスタマー管理権限を参照してください。
Q: アカウントで共有しているリソースを確認するにはどうすればよいですか?
A: AWS RAM コンソールで、または AWS RAM API、AWS CLI、もしくは AWS SDK を使用して、アカウントと共有されているリソースを表示できます。各リソースのコンソールページとそのリソースタイプの各 List/Describe API にも、アカウントで共有しているリソースが表示されます。例えば、Amazon Route 53 Resolver ルールがアカウントと共有されている場合、そのルールは、その AWS アカウントが所有する他のルールとともに Amazon Route 53 コンソールの Resolver ページに表示されます。さらに、Amazon Route 53 ListResolverRules API アクションを使用する場合、共有ルールも応答で返されます。
Q: リソースを他の AWS アカウントと共有すると料金が発生しますか?
A: いいえ。追加料金なしでリソースを共有できます。
Q: 共有しているリソースへのアクセスを制御するにはどうすればよいですか?
A: IAM ポリシーを指定して、共有しているリソースへのアクセスを制御できます。
Q: リソースの共有を停止できますか?
A: はい。リソース共有からリソースを削除するか、リソース共有を削除すると、リソースの共有を停止できます。
Q: リソース共有の変更を監視するにはどうすればよいですか?
A: AWS RAM API へのすべての呼び出しは AWS CloudTrail のログに記録されます。さらに、リソース共有に変更があるたびに Amazon CloudWatch Events がトリガーされます。詳細については、AWS Resource Access Manager ユーザーガイドの AWS RAM のログ記録とモニタリングを参照してください。