翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# リソースグループとは
*リソースグループ*を使用して AWS リソースを整理できます。 AWS Resource Groups は、多数のリソースのタスクを一度に管理および自動化できるサービスです。このガイドでは、 AWS Resource Groupsでのリソースグループの作成方法および管理方法について説明します。リソースで実行できるタスクは、使用している AWS サービスによって異なります。がサポートするサービスのリスト AWS Resource Groups と、各サービスでリソースグループに対して実行できる操作の簡単な説明については、「」を参照してください[AWS と連携する サービス AWS Resource Groups](integrated-services-list.md)。
Resource Groups にアクセスするには、次のいずれかのエントリポイントを使用します。
+ [AWS マネジメントコンソール](https://console.aws.amazon.com/console/home) の上部ナビゲーションバーで、**[Services]** (サービス) を選択します。**[Management & Governance]** (管理とガバナンス) で、**[Resource Groups & Tag Editor]** (Resource Groups とタグエディタ) を選択します。
直接リンク: [AWS Resource Groups コンソール](https://console.aws.amazon.com/resource-groups)
+ Resource Groups API を使用して、 AWS CLI コマンドまたは AWS SDK プログラミング言語で を使用します。詳細については、 [https://docs.aws.amazon.com/ARG/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/ARG/latest/APIReference/Welcome.html)を参照してください。
**AWS マネジメントコンソール ホームでリソースグループを操作するには**
1. AWS マネジメントコンソールにサインインします。
1. ナビゲーションバーで [**サービス**] を選択します。
1. **[Management & Governance]** (管理とガバナンス) の **[Resource Groups & Tag Editor]** (Resource Groups とタグエディタ)
1. 左側のナビゲーションペインで、**[Saved Resource Groups]** (保存されたリソースグループ) を選択して既存のグループで作業するか、または **[Create a Group]** (グループの作成) を選択して新しいグループを作成します。
## リソースとそのグループタイプ
では AWS、*リソース*はユーザーが操作できるエンティティです。例としては、Amazon EC2 インスタンス、 AWS CloudFormation スタック、Amazon S3 バケットなどがあります。複数のリソースを使用する場合は、タスクごとに 1 つの AWS サービスから別のサービスに移動するのではなく、グループとして管理すると便利です。アプリケーション層を構成する EC2 インスタンスなど、多数の関連リソースを管理する場合は、これらのリソースに対して一括アクションを一度に実行する必要があります。一括アクションの例を以下に示します。
+ アップデートまたはセキュリティパッチの適用。
+ アプリケーションのアップグレード。
+ ネットワークトラフィックのポートの開閉。
+ 特定のログの収集、またはインスタンスのフリートのデータの監視。
*リソースグループは*、すべて同じ にあり AWS リージョン、グループのクエリで指定された条件に一致する AWS リソースのコレクションです。Resource Groups には、グループを構築するために使用できる 2 つのタイプのクエリがあります。どちらのクエリタイプにも、`AWS::service::resource` の形式で指定されているリソースが含まれています。
+ **タグベース**
タグベースのリソースグループのメンバーシップは、リソースタイプとタグのリストを指定するクエリに基づいています。*タグ* は、企業内のリソースを識別およびソートするのに役立ちます。タグには、キーの値が含まれます。
**重要**
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグを使用して、課金および管理サービスを提供します。タグは、プライベートデータまたは機密データに使用することを目的としたものではありません。
+ **CloudFormation スタックベース**
CloudFormation スタックベースのリソースグループは、現在のリージョンのアカウントの CloudFormation スタックを指定するクエリに基づいてメンバーシップを作成します。グループに含めるスタックでリソースタイプを必要に応じて選択することができます。クエリは 1 つの CloudFormation スタックにのみ基づくことができます。
**サービスにリンクされたリソースグループ**
一部の では、そのサービスのコンソールと APIs を使用してのみ作成および管理できるリソースグループ AWS のサービス を定義します。Resource Groups コンソールでこれらのグループを使用して実行できることは限られています。詳細については、「AWS Resource Groups API リファレンスガイド」の「[リソースグループのサービス設定](https://docs.aws.amazon.com/ARG/latest/APIReference/about-slg.html)」を参照してください。
リソースグループは*ネストできます*。つまり、同じリージョン上の既存のリソースグループは、リソースグループに含めることができます。
### リソースグループのユースケース
デフォルトでは、 AWS マネジメントコンソール は AWS サービス別に整理されています。ただし、Resource Groups を使用すると、タグで指定された条件または CloudFormation スタック内のリソースに基づいて情報を整理および統合するカスタムコンソールを作成できます。次のリストでは、リソースのグループ化を使用したリソースの整理に役立つケースを紹介します。
+ 開発、ステージング、本番稼働用といった、さまざまな段階があるアプリケーション。
+ 複数の部門または個々のユーザーによって管理されるプロジェクト。
+ 共通のプロジェクトに一緒に使用するリソースのセット、またはグループとして管理またはモニタリングする AWS リソースのセット。
+ 特定のプラットフォーム (例: Android または iOS) で実行されるアプリケーションに関連するリソースのセット。
たとえば、ウェブアプリケーションを開発中で、アルファ環境、ベータ環境、リリースステージのリソースのセットを個々に管理しているとします。各バージョンは、Amazon EC2 で Amazon Elastic Block Store ストレージボリュームを使用して実行されます。Elastic Load Balancing を使用してトラフィックを管理し、Route 53 を使用してドメインを管理します。Resource Groups を使用しないと、複数のコンソールにアクセスしてサービスのステータスを確認したり、アプリケーションの 1 つのバージョンの設定を変更したりする必要があります。
Resource Groups を使用すると、単一のページでリソースを表示および管理できます。例えば、ツールを使用して、アプリケーションのバージョン (アルファ、ベータ、リリース) ごとにリソースグループを作成するとします。アルファバージョンのアプリケーションのリソースを確認するには、リソースグループを開きます。次に、リソースグループのページで統合情報を表示します。特定のリソースを変更するには、必要な設定が行われているサービスコンソールにアクセスできるように、リソースグループのページでリソースのリンクを選択します。
## AWS Resource Groups および アクセス許可
Resource Groups の機能のアクセス許可は、アカウントレベルです。IAM ユーザー、IAM ロールなどの、アカウントを共有しているプリンシパルに適切な IAM アクセス許可が付与されていれば、作成したリソースグループを操作することができます。
タグはリソースのプロパティであるため、アカウント全体で共有されます。ある部門または特別なグループのユーザーは、共通の用語 (タグ) から引き出し、そのロールと責任に意味のあるリソースグループを作成できます。また、共通のタグのプールを持つことは、ユーザーがリソースグループを共有する際に、タグ情報を失うまたは競合する心配がないことを意味します。
## AWS Resource Groups リソース
Resource Groups で利用可能なリソースは、グループのみです。グループには、固有の Amazon リソースネーム (ARN) が関連付けられています。ARNs、の[「Amazon リソースネーム (ARN) と AWS サービス名前空間](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)」を参照してください*Amazon Web Services 全般のリファレンス*。
| リソースタイプ | ARN 形式 |
| --- | --- |
| Resource Group (リソースグループ) | `arn:aws:resource-groups:region:account:group/group-name` |
## タグ付けの仕組み
タグは、 AWS リソースを整理するためのメタデータとして機能するキーと値のペアです。ほとんどの AWS リソースでは、Amazon EC2 インスタンス、Amazon S3 バケット、またはその他のリソースのいずれであっても、リソースの作成時にタグを追加するオプションがあります。ただし、タグエディタを使用して、タグをサポートされている複数のリソースに一度に追加することもできます。さまざまな種類のリソースのクエリを作成し、検索結果のリソースのタグを追加、削除、または置換します。タグベースのクエリは `AND` 演算子をタグに割り当てます。そのため、クエリによって、指定されたリソースタイプおよび指定されたすべてのタグと一致するすべてのリソースが返ります。
**重要**
個人を特定できる情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。タグを使用して、課金および管理サービスを提供します。タグは、プライベートデータまたは機密データに使用することを目的としたものではありません。
詳細については、 ユーザーガイドの「[タグエディタの使用](https://docs.aws.amazon.com/tag-editor/latest/userguide)」を参照してください。タグエディタを使用して[サポートされているリソース](supported-resources.md)をタグ付けし、そのリソースを作成します。さらに追加する場合は、リソースを作成し、管理するサービスコンソールのタグ付け機能を使用します。
# の開始方法 AWS Resource Groups
では AWS、*リソース*はユーザーが操作できるエンティティです。例として、Amazon EC2 インスタンス、Amazon S3 バケット、Amazon Route 53 ホストゾーンなどがあります。複数のリソースを使用する場合は、タスクごとに 1 つの AWS サービスから別のサービスに移動するのではなく、グループとして管理すると便利です。
このセクションでは、 の使用を開始する方法について説明します AWS Resource Groups。まず、タグエディタでタグ付けして AWS リソースを整理します。次に、グループに必要なリソースタイプと、リソースに適用したタグを含むクエリを Resource Groups に作成します。
Resource Groups でリソースグループを作成したら、オートメーションなどの AWS Systems Manager ツールを使用して、リソースグループの管理タスクを簡素化します。
AWS Systems Manager 機能とツールの使用開始の詳細については、[https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html](https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html)」を参照してください。
**Topics**
+ [を使用するための前提条件 AWS Resource Groups](gettingstarted-prereqs.md)
+ [AWS Resource Groups 認可とアクセスコントロールの詳細](rg-auth-access.md)
# を使用するための前提条件 AWS Resource Groups
リソースグループの使用を開始する前に、既存のリソースを含むアクティブな AWS アカウントと、リソースをタグ付けし、グループを作成する適切な権限があることを確認します。
**Topics**
+ [にサインアップする AWS](#gettingstarted-prereqs-signup)
+ [リソースの作成](#gettingstarted-prereqs-create)
+ [アクセス許可の設定](gettingstarted-prereqs-permissions.md)
## にサインアップする AWS
がない場合は AWS アカウント、次の手順を実行して作成します。
**にサインアップするには AWS アカウント**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。
1. オンラインの手順に従います。
サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。
にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。
## リソースの作成
空のリソースグループを作成することはできますが、グループにリソースができるまで、リソースグループメンバーに対してタスクを実行することはできません。サポートされるリソースタイプの詳細については、「[AWS Resource Groups およびタグエディタで使用できるリソースタイプ](supported-resources.md)」を参照してください。
# アクセス許可の設定
リソースグループおよびタグエディタを最大限に活用するには、リソースをタグ付けする、またはリソースのタグキーとタグ値を表示するための追加アクセス許可が必要になる場合があります。これらのアクセス許可は次のように分類されます。
+ 個々のサービスに対するアクセス許可。これらのサービスからのリソースをタグ付けし、リソースグループに含めることができます。
+ タグエディタコンソールを使用するために必要なアクセス許可
+ AWS Resource Groups コンソールと API を使用するために必要なアクセス許可。
管理者の場合は、 AWS Identity and Access Management (IAM) サービスを使用してポリシーを作成することで、ユーザーにアクセス許可を付与できます。まず、IAM ロールやユーザーなどのプリンシパルを作成するか、 のようなサービスを使用して外部 ID を AWS 環境に関連付けます AWS IAM アイデンティティセンター。次に、ユーザーが必要とする権限を含むポリシーを適用します。IAM ポリシーの作成とアタッチについては、「[ポリシーの使用](https://docs.aws.amazon.com//IAM/latest/UserGuide/ManagingPolicies.html)」を参照してください。
## 個々のサービスに対するアクセス許可
**重要**
このセクションでは、他のサービスコンソールや API を使用してリソースをタグ付けし、そのリソースをリソースグループに追加する場合に必要なアクセス許可について説明します。
「[リソースとそのグループタイプ](resource-groups.md#resource-groups-intro)」に説明しているように、各リソースグループは、1 つ以上のタグキーやタグ値を共有する、指定されたタイプのリソースのコレクションを表します。リソースにタグを追加するには、リソースが属するサービスに必要なアクセス許可が必要です。例えば、Amazon EC2 インスタンスにタグ付けするには、そのサービスの API でのタグ付けアクションに対するアクセス許可 (例:「[Amazon EC2 ユーザーガイド](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/Using_Tags.html#Using_Tags_CLI)」に記載されているアクセス許可) が必要です。
リソースグループの機能を最大限に活用するには、サービスのコンソールにアクセスし、そこでリソースと連携できるようにする別のアクセス許可が必要です。Amazon EC2 のこのようなポリシーの例については、[Amazon EC2 ユーザーガイド」の「Amazon EC2 コンソールで作業するためのポリシーの例](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/iam-policies-ec2-console.html)」を参照してください。 *Amazon EC2 *
## Resource Groups とタグエディタに必要なアクセス許可
Resource Groups とタグエディタを使用するには、IAM のユーザーのポリシーステートメントに以下のアクセス許可を追加する必要があります。によって維持およびup-to-date状態に保ついずれかの AWS管理ポリシーを追加することも AWS、独自のカスタムポリシーを作成および維持することもできます。
### Resource Groups とタグエディタのアクセス許可に AWS マネージドポリシーを使用する
AWS Resource Groups とタグエディタは、ユーザーに事前定義されたアクセス許可のセットを提供するために使用できる以下の AWS 管理ポリシーをサポートしています。これらのマネージドポリシーは、作成した他のポリシーと同様に、任意のユーザー、ロール、グループにアタッチできます。
**[ResourceGroupsandTagEditorReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorReadOnlyAccess)**
このポリシーは、Resource Groups とタグエディタの両方についての読み取り専用オペレーションを呼び出すアクセス許可を、アタッチされた IAM ロールまたはユーザーに付与します。リソースのタグを読み取るには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です (次の重要な注意を参照)。
**[ResourceGroupsandTagEditorFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ResourceGroupsandTagEditorFullAccess)**
このポリシーは、Resource Groups のオペレーションとタグエディタの読み取り・書き込みオペレーションを呼び出すアクセス許可を、アタッチされた IAM ロールまたはユーザーに付与します。リソースタグに対する読み取りまたは書き込みを行うには、別のポリシーを使用して、そのリソースに対するアクセス許可も必要です (次の重要な注意を参照)。
**重要**
上記の 2 つのポリシーは、Resource Groups とタグエディタのオペレーションを呼び出し、それらのコンソールを使用するアクセス許可を付与します。Resource Groups のオペレーションの場合、これらのポリシーで十分であり、Resource Groups コンソールでリソースを操作するために必要なすべてのアクセス許可を付与します。
ただし、タグ付けオペレーションとタグエディタコンソールでは、アクセス許可がもっと細かく設定されます。オペレーションを呼び出すアクセス許可だけでなく、アクセスしようとしているタグがある特定のリソースに対する適切なアクセス許可も必要です。タグへのアクセス許可を付与するには、次のいずれかのポリシーをアタッチする必要があります。
AWS管理ポリシー [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) は、すべてのサービスのリソースの読み取り専用オペレーションにアクセス許可を付与します。 は、新しい AWS サービスが利用可能になると、このポリシー AWS を自動的に最新の状態に保ちます。
多くの サービスは、サービス固有の読み取り専用 AWS管理ポリシーを提供しており、このポリシーを使用して、そのサービスによって提供されるリソースのみにアクセスを制限できます。例えば、Amazon EC2 は [AmazonEC2ReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AmazonEC2ReadOnlyAccess) を提供します。
ユーザーがアクセスできるようにするいくつかのサービスとリソースに対して、非常に限定される読み取り専用オペレーションにのみアクセス許可を付与する独自のポリシーを作成することができます。このポリシーでは、「許可リスト」戦略または拒否リスト戦略のいずれかを使用します。
許可リスト戦略では、ポリシーで***明示的に許可する***まで、アクセスはデフォルトで拒否されるという事実を利用します。そのため、次の例のようなポリシーを使用できます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
または、明示的にブロックするリソース以外のすべてのリソースへのアクセスを許可する「拒否リスト」戦略を使用することもできます。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [ "resource-groups:*" ],
"Resource": "arn:aws:resource-groups:*:123456789012:group/*"
}
]
}
```
### Resource Groups とタグエディタのアクセス許可を手動で追加する
+ `resource-groups:*` (このアクセス許可は、すべてのResource Groups アクションを許可します。代わりに、ユーザーが使用できるアクションを制限する場合は、アスタリスクを[特定の Resource Groups アクション](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)、またはカンマ区切りのアクションのリストに置き換えることができます)
+ `cloudformation:DescribeStacks`
+ `cloudformation:ListStackResources`
+ `tag:GetResources`
+ `tag:TagResources`
+ `tag:UntagResources`
+ `tag:getTagKeys`
+ `tag:getTagValues`
+ `resource-explorer:*`
**注記**
`resource-groups:SearchResources` アクセス許可により、タグキーまたは値で検索をフィルタリングするときに、タグエディタでリソースを一覧表示できます。
`resource-explorer:ListResources` アクセス許可により、検索タグを定義せずにリソースを検索するときに、タグエディタでリソースを一覧表示できます。
コンソールでResource Groups とタグエディタを使用するには、`resource-groups:ListGroupResources` アクションを実行するためのアクセス許可も必要です。このアクセス許可は、現在のリージョンで使用可能なリソースタイプを一覧表示するために必要です。`resource-groups:ListGroupResources` でのポリシー条件の使用は、現在サポートされていません。
# AWS Resource Groups とタグエディタを使用するためのアクセス許可の付与
AWS Resource Groups およびタグエディタを使用するポリシーをユーザーに追加するには、次の手順を実行します。
1. [[IAM コンソール]](https://console.aws.amazon.com/iam) を開きます。
1. ナビゲーションペインで **[ユーザー]** を選択します。
1. AWS Resource Groups およびタグエディタのアクセス許可を付与するユーザーを検索します。ユーザーの名前を選択して、ユーザーのプロパティページを開きます。
1. **[Add permissions]** (許可の追加) を選択します。
1. **[Attach existing policies directly]** (既存のポリシーを直接添付) を選択します。
1. **[ポリシーの作成]** を選択します。
1. **JSON** タブに、以下のポリシーステートメントを貼り付けます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-groups:*",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"tag:GetResources",
"tag:TagResources",
"tag:UntagResources",
"tag:getTagKeys",
"tag:getTagValues",
"resource-explorer:*"
],
"Resource": "*"
}
]
}
```
------
**注記**
このポリシーステートメントの例は、 AWS Resource Groups アクションとタグエディタのアクションに対してのみアクセス許可を付与します。 AWS Resource Groups コンソールの AWS Systems Manager タスクへのアクセスは許可されません。例えば、このポリシーでは、Systems Manager Automation コマンドを使用するためのアクセス許可は付与されません。リソースグループで Systems Manager タスクを実行するには、Systems Manager のアクセス許可 (例: `ssm:*`) がポリシーにアタッチされている必要があります。Systems Manager へのアクセス権限を付与する方法については、「AWS Systems Manager ユーザーガイド」の「[Systems Manager へのアクセス設定](https://docs.aws.amazon.com//systems-manager/latest/userguide/systems-manager-access.html)」を参照してください。
1. **[ポリシーの確認]** を選択します。
1. 新しいポリシーの名前と説明を入力します (たとえば、`AWSResourceGroupsQueryAPIAccess`)。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. ポリシーが IAM に保存され、他のユーザーにアタッチできるようになりました。ポリシーをユーザーに追加する方法については、「IAM ユーザーガイド」の「[ポリシーをユーザーに直接アタッチすることによるアクセス許可の追加](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#by-direct-attach-policy)」を参照してください。
# AWS Resource Groups 認可とアクセスコントロールの詳細
Resource Groups は以下をサポートしています。
+ **アクションベースのポリシー。**例えば、ユーザーに、[https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroups.html](https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroups.html) オペレーションの実行を許可し、それ以外のオペレーションを許可しないポリシーを作成できます。
+ **リソースレベルのアクセス許可。**Resource Groups では、[ARN](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) を使用してポリシーで個々のリソースを指定できます。
+ **タグに基づいた承認。**Resource Groups は、ポリシーの条件でのリソースタグの使用をサポートします。例えば、Resource Groups ユーザーに、お客様がタグ付けしたグループへのフルアクセスを許可するポリシーを作成できます。
+ **一時認証情報。**ユーザーは、 AWS Resource Groups オペレーションを許可するポリシーを持つロールを引き受けることができます。
Resource Groups では、リソースベースのポリシー はサポートされていません。
Resource Groups とタグエディタが AWS Identity and Access Management (IAM) と統合する方法の詳細については、 *AWS Identity and Access Management ユーザーガイド*の以下のトピックを参照してください。
+ [AWS IAM と連携する サービス](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#management_svcs)
+ [のアクション、リソース、および条件キー AWS Resource Groups](https://docs.aws.amazon.com//IAM/latest/UserGuide/list_awsresourcegroups.html)
+ [ポリシーを使用したアクセス制御](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_controlling.html)
# AWS と連携する サービス AWS Resource Groups
で次の AWS サービスを使用できます AWS Resource Groups。
****
| AWS サービス | Resource Groups での使用 |
| --- | --- |
| [AWS CloudFormation](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/) – スタックテンプレートを使用して CloudFormation 、 でリソースグループを作成します。 | AWS リソースを同時にプロビジョニングおよび整理します。リソースをタグ別に整理します。別のスタックのリソースを整理します。Amazon CloudWatch を使用して AWS リソースグループ内のリソースに関するインサイトを収集するか、 を使用して運用アクションを実行します AWS Systems Manager。 詳細については、「AWS CloudFormation ユーザーガイド」の「[ResourceGroups リソースタイプのリファレンス](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/AWS_ResourceGroups.html)」を参照してください。 |
| [CloudTrail](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/) – を使用してすべてのリソースグループアクションをキャプチャします AWS CloudTrail。 | リソースグループで実行されたアクションに関する情報を取得します。これには、アクションを実行したユーザー (ロール、ユーザー、 などの IAM プリンシパル AWS のサービス)、アクションを実行した日時、アクションが発生した場所 (送信元 IP アドレス) などの詳細が含まれます。これらの記録は、分析やフォローアップアクションの開始に使用できます。 詳細については、「[CloudTrail イベント履歴でのイベントの表示](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/view-cloudtrail-events.html)」を参照してください。 |
| [Amazon CloudWatch](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html) - AWS のリソースおよび AWSで実行しているアプリケーションのリアルタイムのモニタリングを可能にします。 | 単一のリソースグループのメトリクスとアラームに絞って表示します。 詳細については、「Amazon CloudWatch ユーザーガイド」の「[リソースグループのメトリクスとアラームに絞る](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/CloudWatch_Automatic_Dashboards_Resource_Group.html)」を参照してください。 |
| [Amazon CloudWatch Application Insights](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-what-is.html) - .NET および SQL Server ベースのアプリケーションの一般的な問題を検出します。 | リソースグループに属する .NET および SQL Server アプリケーションリソースをモニタリングします。 詳細については、「Amazon CloudWatch ユーザーガイド」の「[サポートされるアプリケーションコンポーネント](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-what-is.html#appinsights-components)」を参照してください。 |
| [Amazon DynamoDB テーブルグループ](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/Introduction.html) - より簡単にリソースを管理できるように DynamoDB テーブルを論理グループに整理します。 | DynamoDB **アクション**メニューから DynamoDB テーブルのグループを作成、編集、および削除します。 詳細については、「[Amazon DynamoDB 開発者ガイド](https://docs.aws.amazon.com//amazondynamodb/latest/developerguide/Introduction.html)」を参照してください。 |
| [Amazon EC2 Dedicated Hosts](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/dedicated-hosts-overview.html) - Windows Server、Microsoft SQL Server、SUSE および Linux Enterprise Server を含むソフトウェアのライセンスを、既存のソケット単位、コア単位または VM 単位で利用します。 | Amazon EC2 インスタンスをホストリソースグループに対して起動して、Dedicated Hosts を最大限に活用します。 詳細については、「Amazon EC2 [ユーザーガイド」の「専用ホストの使用](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html)」を参照してください。 *Amazon EC2 * |
| [Amazon EC2 キャパシティ予約](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/ec2-capacity-reservations.html) - 必要なときに Amazon EC2 インスタンスを使用するキャパシティを予約します。キャパシティ予約に属性を指定して、一致する属性で起動する Amazon EC2 インスタンスでのみ動作するようにできます。 | 1 つ以上のキャパシティ予約を含むリソースグループに対して Amazon EC2 インスタンスを起動します。リクエストされたインスタンスに対して一致する属性と使用可能なキャパシティを持つキャパシティ予約がグループにない場合、インスタンスはオンデマンドインスタンスとして実行されます。一致するキャパシティ予約が後の段階でターゲットグループに追加されると、インスタンスは自動的にマッチングされ、リザーブドキャパシティに移動されます。 詳細については、「Amazon EC2 [ユーザーガイド」の「キャパシティ予約グループの使用](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/capacity-reservations-using.html#create-cr-group)」を参照してください。 *Amazon EC2 * |
| [AWS License Manager](https://docs.aws.amazon.com//license-manager/latest/userguide/license-manager.html) - ソフトウェアベンダーのライセンスをクラウドに移動するプロセスを効率化します。 | License Manager が Dedicated Hosts を管理できるようにホストリソースグループを構成します。 詳細については、「License Manager ユーザーガイド」の 「[License Manager のホストリソースグループ](https://docs.aws.amazon.com//license-manager/latest/userguide/host-resource-groups.html)」を参照してください。 |
| [AWS Resilience Hub](https://docs.aws.amazon.com//resilience-hub/latest/userguide/) – アプリケーションを準備し、中断から保護します。 | Resource Groups を使用して定義されたアプリケーションを検出します。 詳細については、AWS ニュースブログの「[Measure and Improve Your Application Resilience with AWS Resilience Hub](https://aws.amazon.com/blogs/aws/monitor-and-improve-your-application-resiliency-with-resilience-hub/)」を参照してください。 |
| [AWS Resource Access Manager](https://docs.aws.amazon.com//ram/latest/userguide/) – 所有している指定された AWS リソースを他のアカウントと共有します。 | を使用してホストリソースグループを共有します AWS RAM。 詳細については、「AWS RAM ユーザーガイド」の「[共有可能なリソース](https://docs.aws.amazon.com//ram/latest/userguide/shareable.html#shareable-arg)」を参照してください。 |
| [AWS Service Catalog AppRegistry](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/appregistry.html) - アプリケーションとそのメタデータを定義して管理します。 | AppRegistry でアプリケーションを作成する場合、そのサービスはそのアプリケーションのリソースグループを自動的に作成します。アプリケーションリソースグループは、アプリケーション内のすべてのリソースのコレクションです。また、このサービスは、アプリケーションに関連付けられたスタックごとにスタック CloudFormation ベースのリソースグループを作成します。 詳細については、「AWS Service Catalog 管理者ガイド」の「[AppRistry の使用](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/appregistry.html)」を参照してください。 |
| [AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/what-is-systems-manager.html) – AWS リソースの可視性と制御を有効にします。 | オペレーションインサイトを収集し、リソースグループに基づくアプリケーションで一括アクションを実行します。 AWS Systems Manager コンソールでは、Application Manager **Custom アプリケーション**ページが、リソースグループに基づくアプリケーションのオペレーションデータを自動的にインポートして表示します。Application Manager の情報を使用して、アプリケーション内のどのリソースが準拠していて正しく動作しているか、どのリソースにアクションが必要なのかを判別できます。 詳細については、「AWS Systems Manager ユーザーガイド」の「[Application Manager でのアプリケーションの使用](https://docs.aws.amazon.com//systems-manager/latest/userguide/application-manager-working-applications.html)」を参照してください。 |
| [Amazon VPC Network Access Analyzer](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/) は、 AWS上のリソースへの不要なネットワークアクセスを識別します。 | を使用して、ネットワークアクセス要件のソースと送信先を指定できます AWS Resource Groups。これにより、ネットワークの設定方法に関係なく、 AWS 環境全体のネットワークアクセスを管理できます。 詳細については、 「Amazon Virtual Private Cloud ユーザーガイド」の「[ネットワークアクセススコープでの Resource Groups の使用](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/working-with-network-access-scopes.html)」を参照してください。 |
# リソースグループのサービス設定
リソースグループを使用すると、 AWS リソースのコレクションをユニットとして管理できます。一部の AWS サービスでは、要求された操作をグループのすべてのメンバーに対して実行することでこれをサポートしています。このようなサービスでは、グループメンバーに適用される設定を、グループにアタッチされた [JSON](https://www.json.org/) データ構造の形式で構成として保存できます。
このトピックでは、サポート対象の AWS サービスの使用可能な構成設定を説明します。
**Topics**
+ [リソースグループにアタッチされたサービス設定にアクセスする方法](#about-slg-how-to-access)
+ [サービス設定の JSON 構文](#about-slg-config-syntax)
+ [サポート対象の設定タイプとパラメータ](about-slg-types.md)
## リソースグループにアタッチされたサービス設定にアクセスする方法
サービスにリンクされたグループをサポートするサービスは、通常、そのサービスのマネジメントコンソールやその AWS CLI および AWS SDK オペレーションなど、そのサービスが提供するツールを使用するときに設定を行います。一部のサービスは、サービスにリンクされたグループを完全に管理し、コンソールまたは所有 AWS サービスによって提供されるコマンドで許可されている場合を除き、いかなる方法でも変更することはできません。ただし、場合によっては、 AWS SDKs または AWS CLI 同等の API オペレーションを使用してサービス設定を操作できます。
+ [CreateGroup](https://docs.aws.amazon.com//ARG/latest/APIReference/API_CreateGroup.html) オペレーションを使用してグループを作成するときに、独自の設定をグループにアタッチできます。
+ [PutGroupConfiguration](https://docs.aws.amazon.com//ARG/latest/APIReference/API_PutGroupConfiguration.html) オペレーションを使用して、グループにアタッチされている現在の設定を変更できます。
+ [GetGroupConfiguration](https://docs.aws.amazon.com//ARG/latest/APIReference/API_GetGroupConfiguration.html) オペレーションを呼び出すと、リソースグループの現在の設定を表示できます。
## サービス設定の JSON 構文
リソースグループには、そのグループのメンバーであるリソースに適用されるサービス固有の設定を定義する設定を含めることができます。
設定は [JSON](https://www.json.org/) オブジェクトとして表現されます。一番上のレベルでは、設定は[グループ設定項目](https://docs.aws.amazon.com//ARG/latest/APIReference/API_GroupConfigurationItem.html)の配列です。各グループ設定項目には 2 つの要素が含まれます。1 つは設定用の `Type` で、もう 1 つはそのタイプによって定義される一連の `Parameters` です。各パラメータには `Name` と 1 つ以上の `Values` の配列が含まれます。*プレースホルダー*付きの次の例は、単一のサンプルリソースタイプの設定の基本的な構文を示しています。この例は、それぞれに 2 つの値を持つパラメータが 2 つあるタイプを示しています。実際に有効なタイプ、パラメータ、値については、次のセクションで説明します。
```
[
{
"Type": "configuration-type",
"Parameters": [
{
"Name": "parameter1-name",
"Values": [
"value1",
"value2"
]
},
{
"Name": "parameter2-name",
"Values": [
"value3",
"value4"
]
}
]
}
]
```
# サポート対象の設定タイプとパラメータ
Resource Groups は次の設定タイプの使用をサポートしています。各設定タイプには、そのタイプに有効なパラメータセットがあります。
**Topics**
+ [`AWS::ResourceGroups::Generic`](#about-slg-types-generic)
+ [`AWS::AppRegistry::Application`](#about-slg-types-appregistry)
+ [`AWS::CloudFormation::Stack`](#about-slg-types-cloudformation)
+ [`AWS::EC2::CapacityReservationPool`](#about-slg-types-ec2-capacityreservation)
+ [`AWS::EC2::HostManagement`](#about-slg-types-resourcegroups-ec2-hostmanagement)
+ [`AWS::NetworkFirewall::RuleGroup`](#about-slg-types-network-firewall-rulegroup)
## `AWS::ResourceGroups::Generic`
この設定タイプは、 AWS サービスの特定のリソースタイプの動作を設定するのではなく、リソースグループにメンバーシップ要件を適用する設定を指定します。この設定タイプは、`AWS::EC2::CapacityReservationPool` や `AWS::EC2::HostManagment` タイプなど、必要なサービスにリンクされたグループによって自動的に追加されます。
次の `Parameters` は、`AWS::ResourceGroups::Generic` サービスにリンクされたグループ `Type` に有効です。
+ **`allowed-resource-types`**
このパラメータは、リソースグループが指定した 1 つまたは複数のタイプのリソースのみで構成できることを指定します。
**値のデータタイプ:** 文字列
**許可される値:**
+ `AWS::EC2::Host` - サービス設定がタイプ `AWS::EC2::HostManagement` の `Configuration` も含む場合、このパラメータと値を持つ `Configuration` が必要になります。これにより、`HostManagement` グループには Amazon EC2 専有ホストのみが含まれることが保証されます。
+ `AWS::EC2::CapacityReservation` - サービス設定がタイプ `AWS::EC2::CapacityReservationPool` の `Configuration` 項目も含む場合、このパラメータと値を持つ `Configuration` が必要になります。これにより、`CapacityReservation` グループには Amazon EC2 キャパシティ予約のキャパシティのみを含めることができます。
**必須:** リソースグループにアタッチされている他の `Configuration` 要素に基づく条件付き。**許可される値**については、前のエントリを参照してください。
次の例では、グループメンバーを Amazon EC2 ホストインスタンスのみに制限しています。
```
[
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
}
]
}
]
```
+ **`deletion-protection`**
このパラメータは、メンバーがいない限りリソースグループを削除できないことを指定します。詳細については、「License Manager ユーザーガイド」の「[ホストリソースグループの削除](https://docs.aws.amazon.com//license-manager/latest/userguide/host-resource-groups.html#host-resource-group-delete)」を参照してください。
**値のデータタイプ:** 文字列の配列
**許可される値:** 許可される値は `[ "UNLESS_EMPTY" ]` (値は大文字である必要があります) のみです。
**必須:** リソースグループにアタッチされている他の `Configuration` 要素に基づく条件付き。このパラメータは、リソースグループに `AWS::EC2::HostManagement` の `Type` を持つ別の `Configuration` 要素がある場合にのみ必要です。
次の例では、グループにメンバーがいない場合を除き、グループの削除保護を有効にします。
```
[
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
## `AWS::AppRegistry::Application`
この`Configuration`タイプは、リソースグループが によって作成されたアプリケーションを表すことを指定します AWS Service Catalog AppRegistry。
このタイプのリソースグループは AppRegistry サービスによって完全に管理され、AppRegistry が提供するツールを使用する以外のユーザーが作成、更新、または削除することはできません。
**注記**
このタイプのリソースグループは、 によって自動的に作成および管理 AWS され、ユーザーによって管理されないため、これらのリソースグループは、 [で作成できるリソースグループの最大数の AWS アカウント](https://console.aws.amazon.com/servicequotas/home/services/resource-groups/quotas)クォータ制限にはカウントされません。
詳細については、「Service Catalog ユーザーガイド」の「[AppRegistry の使用](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/appregistry.html)」を参照してください。
AppRegistry がこのタイプのサービスにリンクされたリソースグループを作成すると、アプリケーションに関連付けられた AWS CloudFormation スタックごとに別の追加の[CloudFormation サービスにリンクされたグループ](#about-slg-types-cloudformation)も自動的に作成されます。
AppRegistry は、作成するこのタイプのサービスにリンクされたグループに、プレフィックス `AWS_AppRegistry_Application-` の後にアプリケーション名 `AWS_AppRegistry_Application-MyAppName` を付けて自動的に名前を付けます。
`AWS::AppRegistry::Application` サービスにリンクされたグループタイプでは、以下のパラメータがサポートされています。
+ **`Name`**
このパラメータには、AppRegistry でアプリケーションを作成したときにユーザーが割り当てたアプリケーションのわかりやすい名前を指定します。
**値のデータタイプ:** 文字列
**許可される値:** AppRegistry サービスによってアプリケーション名として許可されている任意のテキスト文字列。
**必須:** はい
+ **`Arn`**
このパラメータは、AppRegistry によって割り当てられたアプリケーションの [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html)を指定します。
**値のデータタイプ:** 文字列
**許可される値:** 有効な ARN。
**必須:** はい
**注記**
これらの要素を変更するには、AppRegistry コンソールまたはサービスの AWS SDK および AWS CLI オペレーションを使用してアプリケーションを変更する必要があります。
このアプリケーションリソースグループには、AppRegistry アプリケーションに関連付けられている[CloudFormation スタック用に作成されたリソースグループ](#about-slg-types-cloudformation)がグループメンバーとして自動的に含まれます。[ListGroupResources](https://docs.aws.amazon.com//ARG/latest/APIReference/API_ListGroupResources.html) オペレーションを使用して、これらの子グループを表示できます。
次の例は、`AWS::AppRegistry::Application` サービスにリンクされたグループの設定セクションがどのように表示されるかを示しています。
```
[
{
"Type": "AWS::AppRegistry::Application",
"Parameters": [
{
"Name": "Name",
"Values": [
"MyApplication"
]
},
{
"Name": "Arn",
"Values": [
"arn:aws:servicecatalog:us-east-1:123456789012:/applications/"
]
}
]
}
]
```
## `AWS::CloudFormation::Stack`
この`Configuration`タイプは、 グループが AWS CloudFormation スタックを表し、そのメンバーがそのスタックによって作成された AWS リソースであることを指定します。
このタイプのリソースグループは、 CloudFormation スタックを AppRegistry サービスに関連付けると自動的に作成されます。AppRegistry によって提供されるツールを使用して、これらのグループを作成、更新、または削除することはできません。
AppRegistry は、作成するこのタイプのサービスにリンクされたグループに、プレフィックス `AWS_CloudFormation_Stack-` の後にスタック名 `AWS_CloudFormation_Stack-MyStackName` を付けて自動的に名前を付けます。
**注記**
このタイプのリソースグループは、ユーザーによって自動的に作成および管理 AWS されるため、これらのリソースグループは、 [で作成できるリソースグループの最大数の AWS アカウント](https://console.aws.amazon.com/servicequotas/home/services/resource-groups/quotas)クォータ制限にはカウントされません。
詳細については、「Service Catalog ユーザーガイド」の「[AppRegistry の使用](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/AppRegistry.html)」を参照してください。
AppRegistry は、AppRegistry アプリケーションに関連付ける CloudFormation スタックごとに、このタイプのサービスにリンクされたリソースグループを自動的に作成します。これらのリソースグループは [AppRegistry アプリケーションの親リソースグループの](#about-slg-types-appregistry)子メンバーになります。
この CloudFormation リソースグループのメンバーは、スタックの一部として作成された AWS リソースです。
`AWS::CloudFormation::Stack` サービスにリンクされたグループタイプでは、以下のパラメータがサポートされています。
+ **`Name`**
このパラメータは、 CloudFormation スタックの作成時にユーザーによって割り当てられたスタックのフレンドリ名を指定します。
**値のデータタイプ:** 文字列
**許可される値:** スタック名に対して CloudFormation サービスで許可される任意のテキスト文字列。
**必須:** はい
+ **`Arn`**
このパラメータは、AppRegistry のアプリケーションにアタッチされた CloudFormation スタックの [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) パスを指定します。
**値のデータタイプ:** 文字列
**許可される値:** 有効な ARN。
**必須:** はい
**注記**
これらの要素を変更するには、AppRegistry コンソールまたは同等の AWS SDK および AWS CLI オペレーションを使用してアプリケーションを変更する必要があります。
次の例は、`AWS::CloudFormation::Stack` サービスにリンクされたグループの設定セクションがどのように表示されるかを示しています。
```
[
{
"Type": "AWS::CloudFormation::Stack",
"Parameters": [
{
"Name": "Name",
"Values": [
"MyStack"
]
},
{
"Name": "Arn",
"Values": [
"arn:aws:cloudformation:us-east-1:123456789012:stack/MyStack/"
]
}
]
}
]
```
## `AWS::EC2::CapacityReservationPool`
この `Configuration` タイプでは、リソースグループがグループのメンバーによって提供される共通の容量プールであることを指定しています。このリソースグループのメンバーは Amazon EC2 キャパシティ予約である必要があります。リソースグループには、アカウントで所有しているキャパシティ予約と、 を使用して他のアカウントから共有されているキャパシティ予約の両方を含めることができます AWS Resource Access Manager。これにより、このリソースグループをキャパシティ予約パラメータの値として使用して Amazon EC2 インスタンスを起動できます。これを行うと、インスタンスはグループ内の利用可能なリザーブドキャパシティを使用します。
リソースグループに使用可能なキャパシティがない場合、Amazon EC2 UltraServer キャパシティブロックを使用するようにリソースグループを設定しない限り、インスタンスはプール外のスタンドアロンオンデマンドインスタンスとして起動します。詳細については、*Amazon EC2 * [ユーザーガイド」の「キャパシティ予約グループの使用](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/create-cr-group.html)」を参照してください。
サービスにリンクされたリソースグループにこのタイプの `Configuration` 項目を設定する場合は、以下の値を持つ `Configuration` 項目を別途指定する必要もあります。
+ 1 つのパラメータを持つ `AWS::ResourceGroups::Generic` タイプ:
+ パラメータ `allowed-resource-types` と `AWS::EC2::CapacityReservation` の単一の値。これにより、Amazon EC2 のキャパシティ予約のみがリソースグループのメンバーになることができます。
+ 2 つのパラメータを持つ`AWS::EC2::CapacityReservationPool`タイプ:
+ `reservation-type`— Amazon EC2 UltraServer キャパシティブロックのキャパシティ予約グループを設定する場合にのみ必要です。このフィールドで許可される値は のみです`capacity-block`。
+ `instance-type`— Amazon EC2 UltraServer キャパシティブロックのキャパシティ予約グループを設定する場合にのみ必要です。このフィールドで指定できる値は `trn2u.48xlarge`と です`p6e-gb200.36xlarge`。
次の例は、オンデマンドキャパシティ予約`Configuration`のセクションを示しています。
```
{
"Configuration": [
{
"Type": "AWS::EC2::CapacityReservationPool",
"Parameters": []
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::CapacityReservation"
]
}
]
}
]
}
```
次の例は、Amazon EC2 UltraServer キャパシティブロックをサポートする `Configuration` セクションを示しています。
```
{
"Configuration": [
{
"Type": "AWS::EC2::CapacityReservationPool",
"Parameters": [
{
"Name": "instance-type",
"Values": [
"trn2u.48xlarge"
]
},
{
"Name": "reservation-type",
"Values": [
"capacity-block"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::CapacityReservation"
]
}
]
}
]
}
```
Amazon EC2 UltraServer キャパシティブロックを使用するときにリソースグループ設定`reservation-type`に `instance-type`と を追加した後、そのリソースグループには次の動作が適用されます。
+ このリソースグループ設定には追加のキャパシティ予約を追加できますが、追加の予約では を `reservation-type`に設定`capacity-block`し、 を `trn2u.48xlarge`または `instance-type`に設定する必要があります`p6e-gb200.48xlarge`。
+ 現在、 の唯一の許容値は `reservation-type` で`capacity-block`、 の唯一の許容値は `trn2u.48xlarge` と `instance-type`です`p6e-gb200.48xlarge`。
+ ML 用の Amazon EC2 キャパシティブロックを、 `reservation-type` および `instance-type`設定を含まないリソースグループに追加することはできません。
+ `reservation-type` および `capacity-block`設定パラメータを追加しても、グループ予約を追加または削除するプロセスは変更されません。
+ グループからキャパシティ予約を削除するか、グループを削除すると、グループ内の予約はインスタンスが終了するまで使用中のままになります。
+ 現在、 `reservation-type`および `instance-type`設定パラメータを持つリソースグループは、初期設定後に更新できません。設定を変更または削除するには、グループを削除してから、新しい設定で新しいグループを作成する必要があります。
+ 空のグループでインスタンスを起動したり、空のグループをターゲットにするようにインスタンスを変更したりすることはできません。
## `AWS::EC2::HostManagement`
この識別子は、グループのメンバー AWS License Manager に適用される Amazon EC2 ホスト管理と の設定を指定します。詳細については、[「 のリソースグループのホスト AWS License Manager](https://docs.aws.amazon.com//license-manager/latest/userguide/host-resource-groups.html)」を参照してください。
サービスにリンクされたリソースグループにこのタイプの `Configuration` 項目を設定する場合は、以下の値を持つ `Configuration` 項目を別途指定する必要もあります。
+ `AWS::ResourceGroups::Generic` タイプのパラメータは `allowed-resource-types` で、単一の値は `AWS::EC2::Host` です。これにより、Amazon EC2 専用ホストのみがグループのメンバーになることができます。
+ `AWS::ResourceGroups::Generic` タイプのパラメータは `deletion-protection` で、単一の値は `UNLESS_EMPTY` です。これにより、グループが空でない限りグループを削除できなくなります。
`AWS::EC2::HostManagement` サービスにリンクされたグループタイプでは、以下のパラメータがサポートされています。
+ **`auto-allocate-host`**
このパラメータは自動配置を使用すると、起動するインスタンスについて、特定の専有ホストあるいは設定が合致する任意のホストで起動されるようにするかを指定します。詳細については、「Amazon EC2 ユーザーガイド」の「[自動配置とアフィニティについて](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html#dedicated-hosts-understanding)」を参照してください。
**値のデータタイプ:** Boolean
**許可される値:** 「true」または「false」(小文字である必要があります)。
**必須:** いいえ
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "auto-allocate-host",
"Values": [
"true"
]
},
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`auto-release-host`**
このパラメータには、最後に実行していたインスタンスが終了した後に、グループ内の専有ホストが自動的に解放されるかどうかを指定します。詳細については、*Amazon EC2 * [ユーザーガイド」の「Dedicated Hosts のリリース](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/how-dedicated-hosts-work.html#dedicated-hosts-releasing)」を参照してください。
**値のデータタイプ:** Boolean
**許可される値:** 「true」または「false」(小文字である必要があります)。
**必須:** いいえ
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "auto-release-host",
"Values": [
"false"
]
},
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`allowed-host-families`**
このパラメータは、このグループのメンバーであるインスタンスが使用できるインスタンスタイプファミリーを指定します。
**値のデータタイプ:** 文字列の配列。
**許可される値:** それぞれ `C4`、`M5`、`P3dn` あるいは `R5d` などの有効な [Amazon EC2 インスタンスタイプファミリー識別子](https://docs.aws.amazon.com//AWSEC2/latest/UserGuide/instance-types.html#AvailableInstanceTypes)である必要があります。
**必須:** いいえ
次の設定項目例では、起動するインスタンスは C5 または M5 インスタンスタイプファミリーのメンバーのみになるように指定しています。
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "allowed-host-families",
"Values": [
"c5",
"m5"
]
},
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`allowed-host-based-license-configurations`**
このパラメータは、グループのメンバーに適用したい 1 つ以上のコア/ソケットベースのライセンス設定の [Amazon リソースネーム (ARN)](https://docs.aws.amazon.com//general/latest/gr/aws-arns-and-namespaces.html) パスを指定します。
**値のデータタイプ:** ARN の配列。
**許可される値:** それぞれが有効な [License Manager 設定 ARN](https://docs.aws.amazon.com//service-authorization/latest/reference/about-service-linked-groups.xmllist_awslicensemanager.html#awslicensemanager-resources-for-iam-policies) でなければなりません。
**必須:** 条件的。このパラメータもしくは `any-host-based-license-configuration` を指定する必要がありますが、両方を指定することはできません。これらは相互に排他的です。
次の設定項目の例では、グループメンバーが指定した 2 つの License Manager 設定を使用できるように指定しています。
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "allowed-host-based-license-configurations",
"Values": [
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-6eb6586f508a786a2ba41EXAMPLE1111",
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-8a786a26f50ba416eb658EXAMPLE2222"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
+ **`any-host-based-license-configuration`**
このパラメータは、特定のライセンス設定をグループに関連付けたくないことを指定します。この場合、ホストリソースグループのメンバーは、コア/ソケットベースのライセンス設定をすべて利用できます。ライセンス数に制限がなく、ホストの使用率を最適化したい場合は、この設定を使用してください。
**値のデータタイプ:** Boolean
**許可される値:** 「true」または「false」(小文字である必要があります)。
**必須:** 条件的。このパラメータもしくは `allowed-host-based-license-configurations` を指定する必要がありますが、両方を指定することはできません。これらは相互に排他的です。
以下の設定項目の例は、グループメンバーがいずれのコア/ソケットベースのライセンス設定も使用できることを指定しています。
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "any-host-based-license-configuration",
"Values": [
"true"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
以下の例は、すべてのホスト管理設定を 1 つの設定にまとめる方法を示しています。
```
[
{
"Type": "AWS::EC2::HostManagement",
"Parameters": [
{
"Name": "auto-allocate-host",
"Values": [
"true"
]
},
{
"Name": "auto-release-host",
"Values": [
"false"
]
},
{
"Name": "allowed-host-families",
"Values": [
"c5",
"m5"
]
},
{
"Name": "allowed-host-based-license-configurations",
"Values": [
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-6eb6586f508a786a2ba41EXAMPLE1111",
"arn:aws:license-manager:us-west-2:123456789012:license-configuration:lic-8a786a26f50ba416eb658EXAMPLE2222"
]
}
]
},
{
"Type": "AWS::ResourceGroups::Generic",
"Parameters": [
{
"Name": "allowed-resource-types",
"Values": [
"AWS::EC2::Host"
]
},
{
"Name": "deletion-protection",
"Values": [
"UNLESS_EMPTY"
]
}
]
}
]
```
## `AWS::NetworkFirewall::RuleGroup`
この識別子は、グループのメンバーに適用される AWS Network Firewall ルールグループの設定を指定します。ファイアウォール管理者は、このタイプのリソースグループの ARN を指定することで、グループのメンバーの IP アドレスをファイアウォールルールに合わせて自動的に解決できます。これにより、各アドレスを手動で一覧表示する必要がなくなります。詳細については、「[AWS Network Firewallのタグベースのリソースグループを使用する](https://docs.aws.amazon.com/network-firewall/latest/developerguide/resource-groups.html)」を参照してください。
この設定タイプのリソースグループを作成するには、Network Firewall コンソールを使用するか、 AWS CLI コマンドまたは AWS SDK オペレーションを実行します。
この設定タイプのリソースグループには、次の制約があります。
+ グループのメンバーは、Network Firewall でサポートされているタイプのリソースのみで構成されます。
+ グループのメンバーシップを管理するには、グループにタグベースのクエリが含まれている必要があります。クエリに一致するタグを持つサポート対象タイプのリソースは、自動的にグループのメンバーになります。
+ この設定タイプとして `Parameters` はサポートされていません。
+ この設定タイプのリソースグループを削除すると、どの Network Firewall ルールグループからも参照できなくなります。
次の例は、このタイプのグループの `Configuration` および `ResourceQuery` セクションを示しています。
```
{
"Configuration": [
{
"Type": "AWS::NetworkFirewall::RuleGroup",
"Parameters": []
}
],
"ResourceQuery": {
"Query": "{\"ResourceTypeFilters\":[\"AWS::EC2::Instance\"],\"TagFilters\":[{\"Key\":\"environment\",\"Values\":[\"production\"]}]}",
"Type": "TAG_FILTERS_1_0"
}
}
```
次の AWS CLI コマンド例では、前の設定とクエリを使用してリソースグループを作成します。
```
$ aws resource-groups create-group \
--name test-group \
--resource-query '{"Type": "TAG_FILTERS_1_0", "Query": "{\"ResourceTypeFilters\": [\"AWS::EC2::Instance\"], \"TagFilters\": [{\"Key\": \"environment\", \"Values\": [\"production\"]}]}"}' \
--configuration '[{"Type": "AWS::NetworkFirewall::RuleGroup", "Parameters": []}]'
{
"Group":{
"GroupArn":"arn:aws:resource-groups:us-west-2:123456789012:group/test-group",
"Name":"test-group",
"OwnerId":"123456789012"
},
"Configuration": [
{
"Type": "AWS::NetworkFirewall::RuleGroup",
"Parameters": []
}
],
"ResourceQuery": {
"Query": "{\"ResourceTypeFilters\":[\"AWS::EC2::Instance\"],\"TagFilters\":[{\"Key\":\"environment\",\"Values\":[\"production\"]}]}",
"Type": "TAG_FILTERS_1_0"
}
}
```