新しい AWS Resource Access Manager – クロスアカウントでのリソース共有

以前に説明したように、顧客はさまざまな理由で複数の AWS アカウントを使用しています。一部の顧客は、複数のアカウントを使用して管理および課金を切り分けています。爆発半径を設定して、間違いの影響をコントロールしている顧客もいます。

こうした分離はすべての顧客にとって実際にポジティブなものですが、特定のタイプの共有が有用で有益であることも判明しています。たとえば、多くの顧客は、管理のオーバーヘッドや運用コストを削減するために、リソースを一元的に作成してアカウント間で共有したいと考えています。

AWS Resource Access Manager
新しいAWS Resource Access Manager (RAM) は、AWS アカウント間でのリソース共有を容易にします。AWS 組織内でリソースを簡単に共有でき、コンソール、CLI、一連の API から使用できます。Route 53 Resolver ルールのサポートを開始 (昨日、Shaunの素晴らしい記事で発表) し、近いうちにさらに多くの種類のリソースを追加します。

リソースを共有するには、単にリソース共有を作成し、名前を付け、リソースを 1 つ以上追加し、他の AWS アカウントへのアクセス権を付与するだけです。それぞれのリソース共有はショッピングカートに似ており、異なる種類のリソースを保持できます。自分が所有しているリソースはすべて共有できますが、共有されているリソースを再共有することはできません。リソースは、組織、組織単位 (OU)、AWS アカウントで共有することができます。また、組織外のアカウントを特定のリソース共有に追加できるかどうかをコントロールすることもできます。

組織のマスターアカウントの共有を、RAM コンソールの [Settings] ページで有効にする必要があります。

その後、組織内の別のアカウントとリソースを共有すると、リソースはどちらの側でもさらなるアクションなしで利用可能になります (RAM は、アカウントが組織に追加されたときに行われたハンドシェイクを利用します)。組織外のアカウントでリソースを共有すると、そのアカウントでリソースを利用できるようにするために承認する必要がある招待が送信されます。

リソースがアカウント (消費アカウントと呼ぶ) と共有されると、共有リソースは消費アカウントが所有するリソースと共に適切なコンソールページに表示されます。同様に、Describe/List をコールすると、共有リソースと消費アカウントが所有するリソースの両方を返します。

リソース共有にタグを付け、IAM ポリシーでタグを参照してタグベースの権限システムを作成することができます。リソース共有から、いつでもアカウントやリソースを追加したり削除したりすることができます。

AWS Resource Access Manager の使用
RAM コンソールを開き、[Create a resource share] をクリックして開始します。

共有の名前 (CompanyResolvers) を入力し、追加したいリソースを選択します。

先ほど説明したように、すぐにリソースタイプを増やしていきます！

リソースを共有するプリンシパル (組織、OU、AWS アカウント) を入力し、[Create resource share] をクリックします。

共有するアカウントが組織外のアカウントであれば、招待を受け取ります。招待はコンソールに表示され、コンソールで承認することができます。招待を承認すると、適切な IAM 権限で、リソースにアクセスできるようになります。

また、RAM では、自分が共有しているすべてのもの、および自分と共有されているものすべてに一元的にアクセスできます。

さらに、CreateResourceShare、UpdateResourceShare、GetResourceShareInvitations、AcceptResourceShareInvitation などの関数を使用して、共有プロセスを自動化することもできます。もちろん、IAM ポリシーを使用して、トランザクションの両側でこれらの関数の使用を規制することができます。

リソースの共有には料金はかかりません。

今すぐ利用可能です！
AWS Resource Access Manager (RAM) はすでに利用可能であり、すぐにリソースの共有を開始できます。

— Jeff;