本稿は、AWS Solution Architect Professional に出題される AWS RAM について個人用にまとめた記事です。
目次
AWS RAM が出題されるシナリオ
AWS RAM とは
特定のAWSリソースを他のAWSアカウントと安全に共有できます。リソースを一元的に調達し、RAM を使用して他のアカウントとリソースを共有できるため、アカウントごとにリソースをプロビジョニングして管理する必要がありません。リソースを他のアカウントと共有する場合は、そのアカウントにリソースへのアクセス権が付与され、そのアカウントのポリシーとアクセス許可が共有リソースに適用されます。
リソースを共有する
任意の AWS アカウントとリソースを共有できます。 AWS Organizations に属しているアカウントの場合は、 OU または、組織全体とリソースを共有することも可能です。 Organizations 以外のアカウントと共有する場合は、そのアカウントで招待状を受信し、承諾することで共有リソースを使用することができます。
よって、共有する方法は下記の 2 パターンになります。
- AWS アカウントを個別で指定し、受け側で招待状を受信し承諾する
- Organizations レベルで共有する。その場合、招待状のやりとりはない
AWS Organizations で RAM の使用を開始する方法
AWS Organizations 以外のアカウントと RAM の使用を開始するには、API/CLI または AWS マネジメントコンソールを使用してリソース共有を作成します。AWS Organizations で信頼されたアクセスを有効にするには AWS RAM CLI から enable-sharing-with-aws-organizations コマンドを使用します。また、AWS Organizations 内のアカウントであっても、AWS Organizations との共有を有効にしない場合は、組織内の個々のアカウントと直接、招待状のやりとりをする事で共有することが可能です。
AWS RAM の IAM ポリシー
デフォルトでは、IAM ユーザには AWS RAM リソースを作成または変更する権限はありません。よって、IAM ポリシーを作成する必要があります。