[AWS CSAP] AWS Resource Access Manager(AW​​S RAM)

本稿は、AWS Solution Architect Professional に出題される AW​​S RAM について個人用にまとめた記事です。

AWS RAM が出題されるシナリオ

AW​​S RAM とは

特定のAWSリソースを他のAWSアカウントと安全に共有できます。リソースを一元的に調達し、RAM を使用して他のアカウントとリソースを共有できるため、アカウントごとにリソースをプロビジョニングして管理する必要がありません。リソースを他のアカウントと共有する場合は、そのアカウントにリソースへのアクセス権が付与され、そのアカウントのポリシーとアクセス許可が共有リソースに適用されます。

リソースを共有する

任意の AWS アカウントとリソースを共有できます。 AWS Organizations に属しているアカウントの場合は、 OU または、組織全体とリソースを共有することも可能です。 Organizations 以外のアカウントと共有する場合は、そのアカウントで招待状を受信し、承諾することで共有リソースを使用することができます。

よって、共有する方法は下記の 2 パターンになります。

  • AWS アカウントを個別で指定し、受け側で招待状を受信し承諾する
  • Organizations レベルで共有する。その場合、招待状のやりとりはない

AWS Organizations で RAM の使用を開始する方法

AWS Organizations 以外のアカウントと RAM の使用を開始するには、API/CLI または AWS マネジメントコンソールを使用してリソース共有を作成します。AWS Organizations で信頼されたアクセスを有効にするには AWS RAM CLI から enable-sharing-with-aws-organizations コマンドを使用します。また、AWS Organizations 内のアカウントであっても、AWS Organizations との共有を有効にしない場合は、組織内の個々のアカウントと直接、招待状のやりとりをする事で共有することが可能です。

AWS RAM の IAM ポリシー

デフォルトでは、IAM ユーザには AWS RAM リソースを作成または変更する権限はありません。よって、IAM ポリシーを作成する必要があります。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA