翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# 共有メッシュの使用
**重要**
サポート終了通知: 2026 年 9 月 30 日、 AWS はサポートを終了します AWS App Mesh。2026 年 9 月 30 日以降、 AWS App Mesh コンソールまたは AWS App Mesh リソースにアクセスできなくなります。詳細については、このブログ記事[「 から Amazon ECS Service Connect AWS App Mesh への移行](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)」を参照してください。
AWS Resource Access Manager サービスを使用して、 AWS アカウント間で App Mesh メッシュを共有できます。共有メッシュを使用すると、異なる AWS アカウントによって作成されたリソースが同じメッシュ内で相互に通信できます。
AWS アカウントは、メッシュリソース所有者、メッシュコンシューマー、またはその両方です。コンシューマーは、アカウントと共有されるメッシュにリソースを作成できます。オーナーは、アカウントが所有する任意のメッシュにリソースを作成できます。メッシュ所有者は、次のタイプのメッシュコンシューマーとメッシュを共有できます。
+ の組織内外の特定の AWS アカウント AWS Organizations
+ の組織内の組織単位 AWS Organizations
+ の組織全体 AWS Organizations
メッシュ共有のエンドツーエンドのウォークスルーについては、GitHub の「[クロスアカウントメッシュのチュートリアル](https://github.com/aws/aws-app-mesh-examples/tree/main/walkthroughs/howto-cross-account)」を参照してください。
## メッシュを共有するアクセス許可の付与
アカウント間でメッシュを共有する場合、メッシュを共有する IAM プリンシパルに必要なアクセス許可と、メッシュ自体に必要なリソースレベルのアクセス許可があります。
### メッシュを共有するアクセス許可の付与
IAM プリンシパルがメッシュを共有するには、最小限のアクセス許可のセットが必要です。`AWSAppMeshFullAccess` および `AWSResourceAccessManagerFullAccess`マネージド IAM ポリシーを使用して、IAM プリンシパルが共有メッシュを共有および使用するために必要なアクセス許可を持っていることを確認することをお勧めします。
カスタム IAM ポリシーを使用する場合は、`appmesh:PutMeshPolicy`、`appmesh:GetMeshPolicy`、および `appmesh:DeleteMeshPolicy`アクションが必要です。これらはアクセス許可のみの IAM アクションです。IAM プリンシパルにこれらのアクセス許可が付与されていない場合、 AWS RAM サービスを使用してメッシュを共有しようとするとエラーが発生します。
AWS Resource Access Manager サービスが IAM を使用する方法の詳細については、*AWS Resource Access Manager 「 ユーザーガイド*」の[「IAM AWS RAM の使用方法](https://docs.aws.amazon.com/ram/latest/userguide/security-iam-policies.html)」を参照してください。
### メッシュに対するアクセス許可の付与
共有メッシュには次のアクセス許可があります。
+ コンシューマーは、アカウントと共有されているメッシュ内のすべてのリソースを一覧表示して記述できます。
+ オーナーは、アカウントが所有するメッシュ内のすべてのリソースを一覧表示して説明できます。
+ 所有者とコンシューマーは、アカウントが作成したメッシュのリソースを変更できますが、他のアカウントが作成したリソースを変更することはできません。
+ コンシューマーは、アカウントが作成したメッシュ内の任意のリソースを削除できます。
+ 所有者は、任意のアカウントが作成したメッシュ内の任意のリソースを削除できます。
+ 所有者のリソースは、同じアカウント内の他のリソースのみをリファレンスできます。たとえば、仮想ノードは、仮想ノードの所有者と同じアカウントにある AWS Cloud Map または AWS Certificate Manager 証明書のみを参照できます。
+ 所有者とコンシューマーは、アカウントが所有する仮想ノードとして Envoy プロキシを App Mesh に接続できます。
+ 所有者は、仮想ゲートウェイと仮想ゲートウェイルートを作成できます。
+ 所有者とコンシューマーは、アカウントが作成したメッシュ内のタグを一覧表示したり、リソースにタグ付け/タグ付け解除したりできます。アカウントが作成したものではないメッシュ内のタグを一覧表示したり、リソースにタグ付け/タグ付け解除したりすることはできません。
共有メッシュはポリシーベースの認可を使用します。メッシュは、固定されたアクセス許可のセットで と共有されます。これらの権限を選択してリソースポリシーに追加します。オプションの IAM ポリシーを IAM ユーザー/ロールに基づいて選択することもできます。これらのポリシーで許可されている権限の共通部分から、明示的に拒否された権限を除いたものが、プリンシパルのメッシュへのアクセス権になります。
メッシュを共有すると、 AWS Resource Access Manager サービスは という名前の管理ポリシーを作成し`AWSRAMDefaultPermissionAppMesh`、次のアクセス許可を提供する App Mesh に関連付けます。
+ `appmesh:CreateVirtualNode`
+ `appmesh:CreateVirtualRouter`
+ `appmesh:CreateRoute`
+ `appmesh:CreateVirtualService`
+ `appmesh:UpdateVirtualNode`
+ `appmesh:UpdateVirtualRouter`
+ `appmesh:UpdateRoute`
+ `appmesh:UpdateVirtualService`
+ `appmesh:ListVirtualNodes`
+ `appmesh:ListVirtualRouters`
+ `appmesh:ListRoutes`
+ `appmesh:ListVirtualServices`
+ `appmesh:DescribeMesh`
+ `appmesh:DescribeVirtualNode`
+ `appmesh:DescribeVirtualRouter`
+ `appmesh:DescribeRoute`
+ `appmesh:DescribeVirtualService`
+ `appmesh:DeleteVirtualNode`
+ `appmesh:DeleteVirtualRouter`
+ `appmesh:DeleteRoute`
+ `appmesh:DeleteVirtualService`
+ `appmesh:TagResource`
+ `appmesh:UntagResource`
## メッシュを共有するための前提条件
メッシュを共有するには、以下の前提条件を満たす必要があります。
+ AWS アカウントでメッシュを所有している必要があります。すでに共有されているメッシュを共有することはできません。
+ 組織または AWS Organizationsの組織単位とメッシュを共有するには、 AWS Organizationsとの共有を有効にする必要があります。詳細については、「*AWS RAM ユーザーガイド*」の「[AWS Organizationsで共有を有効化する](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)」を参照してください。
+ サービスは、相互に通信するメッシュリソースを含むアカウント間で接続を共有しているAmazon VPCにデプロイする必要があります。ネットワーク接続を共有する 1 つの方法は、メッシュで使用するすべてのサービスを共有サブネットにデプロイすることです。詳細および制限事項については、「[サブネットの共有](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html#vpc-sharing-share-subnet)」を参照してください。
+ サービスは DNS または で検出できる必要があります AWS Cloud Map。サービスディスカバリの詳細については、「[仮想ノード](virtual_nodes.md)」を参照してください。
## 関連サービス
メッシュ共有は AWS Resource Access Manager () と統合されますAWS RAM。 AWS RAM は、 AWS リソースを任意の AWS アカウントまたは を通じて共有できるようにするサービスです AWS Organizations。では AWS RAM、リソース共有を作成して、所有している*リソースを共有*します。リソース共有は、共有するリソースと、それらを共有するコンシューマーを指定します。コンシューマーは、個々の AWS アカウント、組織単位、または組織全体にすることができます AWS Organizations。
詳細については AWS RAM、*[AWS RAM 「 ユーザーガイド](https://docs.aws.amazon.com/ram/latest/userguide/)*」を参照してください。
## メッシュを共有する
メッシュを共有すると、異なるアカウントで作成されたメッシュリソースが同じメッシュ内で相互に通信できるようになります。所有するメッシュのみを共有できます。メッシュを共有するには、メッシュをリソース共有に追加する必要があります。リソース共有は、 AWS アカウント間で AWS RAM リソースを共有できる リソースです。リソース共有では、共有対象のリソースと、共有先のコンシューマーを指定します。Amazon Linux コンソールを使用してメッシュを共有する場合は、既存のリソース共有にそれを追加します。メッシュを新しいリソース共有に追加するには、最初に [AWS RAM コンソール](https://console.aws.amazon.com/ram)を使用してリソース共有を作成する必要があります。
の組織に属 AWS Organizations していて、組織内での共有が有効になっている場合、組織内のコンシューマーに共有メッシュへのアクセスを自動的に許可できます。それ以外の場合、コンシューマーはリソース共有に参加するための招待を受け取り、招待を受け入れた後に共有メッシュへのアクセスを許可されます。
AWS RAM コンソールまたは を使用して、所有しているメッシュを共有できます AWS CLI。
**AWS RAM コンソールを使用して所有しているメッシュを共有するには**
手順については、「AWS RAM ユーザーガイド」の「[リソース共有の作成](https://docs.aws.amazon.com//ram/latest/userguide/working-with-sharing.html#working-with-sharing-create)」を参照してください。**リソースタイプを選択するときは、**[メッシュ]** を選択してから、共有するメッシュを選択します。メッシュがリストされていない場合は、最初にメッシュを作成する必要があります。詳細については、「[サービスメッシュの作成](meshes.md#create-mesh)」を参照してください。
**を使用して所有しているメッシュを共有するには AWS CLI**
[create-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/create-resource-share.html) コマンドを使用します。`--resource-arns` オプションで、共有するメッシュの ARN を指定します。
## メッシュの共有解除
メッシュの共有を解除すると、App Mesh はメッシュの以前のコンシューマーによるメッシュへのそれ以降のアクセスを無効にします。ただし、App Mesh はコンシューマーが作成したリソースを削除しません。メッシュの共有が解除されると、メッシュの所有者のみがリソースにアクセスして削除できます。App Mesh は、メッシュ内のリソースを所有していたアカウントが、メッシュの共有解除後に設定情報を受信しないようにします。また、App Mesh は、メッシュ内にリソースを持つアカウントが、メッシュの共有解除後に設定情報を受信しないようにします。メッシュの所有者のみが共有を解除できます。
所有している共有メッシュの共有を解除するには、リソース共有からメッシュを削除する必要があります。これを行うには、 AWS RAM コンソールまたは を使用します AWS CLI。
**AWS RAM コンソールを使用して所有している共有メッシュの共有を解除するには**
手順については、「AWS RAM ユーザーガイド」の「[リソース共有の更新](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing.html#working-with-sharing-update)」を参照してください。**
**を使用して所有している共有メッシュの共有を解除するには AWS CLI**
[disassociate-resource-share](https://docs.aws.amazon.com/cli/latest/reference/ram/disassociate-resource-share.html) コマンドを使用します。
## 共有メッシュの特定
所有者とコンシューマーは、Amazon Linux コンソールと AWS CLI
**Amazon Linux コンソールを使用して共有メッシュを識別するには**
1. App Mesh コンソールを開きます。[https://console.aws.amazon.com/appmesh/](https://console.aws.amazon.com/appmesh/)。
1. 左のナビゲーションペインで [**メッシュ**] を選択します。各メッシュのメッシュ所有者のアカウント ID は、[**メッシュ所有者**]列に一覧表示されます。
1. 左側のナビゲーションから、[**仮想サービス**]、[**仮想ルーター**]、または[**仮想ノード**]を選択します。各リソースの**メッシュ所有者**と**リソース所有者**のアカウント ID が表示されます。
**を使用して共有メッシュを識別するには AWS CLI**
`aws appmesh [list-meshes](https://docs.aws.amazon.com/cli/latest/reference/appmesh/list-meshes.html)` などの `aws appmesh list resource` コマンドを使用します。このコマンドは、所有しているメッシュと共有されているメッシュを返します。`meshOwner` プロパティは AWS のアカウント ID `meshOwner`を示し、 `resourceOwner`プロパティはリソース所有者の AWS アカウント ID を示します。メッシュリソースに対してコマンドを実行すると、これらのプロパティが返されます。
共有メッシュにアタッチしたユーザー定義のタグは、ユーザー自身の AWS アカウントでのみ利用可能です。メッシュを共有している他のアカウントでは使用できません。別のアカウントでメッシュの `aws appmesh list-tags-for-resource` コマンドを実行しても、アクセスは拒否されます。
## 請求と使用量測定
メッシュの共有は無料です。
## インスタンスクォータ
メッシュにリソースを作成したユーザーに関係なく、メッシュのすべてのクォータは共有メッシュにも適用されます。メッシュの所有者のみがクォータの増加を要求できます。詳細については、「[App Mesh Service Quotas](service-quotas.md)」を参照してください。 AWS Resource Access Manager サービスにもクォータがあります。詳細については、「[Service Quotas](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html#what-is-limits)」を参照してください。