共有 AWS Cloud Map 名前空間 - AWS Cloud Map
名前空間の共有に関する考慮事項名前空間を共有するアクセス許可の付与共有名前空間の責任とアクセス許可請求と使用量測定クォータ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

共有 AWS Cloud Map 名前空間

AWS Cloud Map を使用すると、名前空間の所有者は、名前空間を他の AWS アカウント と共有したり、 の組織内で共有したり AWS Organizations して、クロスアカウントサービス検出とサービスレジストリを簡素化できます。これにより、 AWS 組織内の他の AWS アカウント またはチームによって管理される名前空間を簡単に使用できます。

AWS Cloud Map は AWS Resource Access Manager (AWS RAM) と統合してリソース共有を有効にします。 AWS RAM は、一部の AWS Cloud Map リソースを他の AWS アカウント または と共有できるようにするサービスです AWS Organizations。では AWS RAM、リソース共有を作成して、所有しているリソースを共有します。リソース共有は、共有するリソースと、それらを共有するコンシューマーを指定します。コンシューマーには以下が含まれます。

  • の組織 AWS アカウント 内で固有 AWS Organizations

  • の組織内の組織単位 AWS Organizations

  • の組織全体 AWS Organizations

詳細については AWS RAM、AWS RAM 「 ユーザーガイド」を参照してください。

このトピックでは、所有しているリソースの共有方法と、共有されているリソースの使用方法を説明します。

内容

名前空間の共有に関する考慮事項

  • 名前空間を共有するには、 でその名前空間を所有している必要があります AWS アカウント。つまり、自分のアカウントにそのリソースが割り当てられているか、プロビジョニングされている必要があります。自分と共有されている名前空間を共有することはできません。

  • 名前空間を組織または の組織単位と共有するには AWS Organizations、 との共有を有効にする必要があります AWS Organizations。詳細については、「AWS RAM ユーザーガイド」の「AWS Organizationsで共有を有効化する」を参照してください。

  • 共有プライベート DNS 名前空間で DNS クエリを使用するサービス検出の場合、名前空間所有者は、名前空間に関連付けられたプライベートホストゾーンの ID とコンシューマーの VPC create-vpc-association-authorizationを使用して を呼び出す必要があります。

    aws route53 create-vpc-association-authorization --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    名前空間コンシューマーは、プライベートホストゾーンの ID associate-vpc-with-hosted-zoneを使用して を呼び出す必要があります。

    aws route53 associate-vpc-with-hosted-zone --hosted-zone-id Z1234567890ABC --vpc VPCRegion=us-east-1,VPCId=vpc-12345678

    詳細については、「Amazon Route 53 デベロッパーガイド」の「異なる で作成した Amazon VPC とプライベートホストゾーンの関連付け AWS アカウント」を参照してください。

  • 共有 DNS 名前空間に関連付けられたサービスのup-to-dateネットワークロケーションを検出した後、異なる VPCs にある場合、サービスと通信するように VPC 間接続を設定する必要がある場合があります。これは、VPC ピアリング接続を使用して実現できます。詳細については、Amazon Virtual Private Cloud VPC ピアリングガイドの「VPC ピアリング接続の作成または削除」を参照してください。

  • を使用してListOperations、他のアカウントによって実行される共有名前空間のオペレーションを一覧表示することはできません。

  • タグ付けは、共有名前空間ではサポートされていません。

名前空間を共有するアクセス許可の付与

IAM プリンシパルが名前空間を共有するには、最小限のアクセス許可のセットが必要です。AWSCloudMapFullAccess および AWSResourceAccessManagerFullAccess管理ポリシーを使用して、IAM プリンシパルが共有名前空間を共有および使用するために必要なアクセス許可を持っていることを確認することをお勧めします。

カスタム IAM ポリシーを使用する場合は、名前空間の共有に servicediscovery:PutResourcePolicyservicediscovery:GetResourcePolicy、および servicediscovery:DeleteResourcePolicyアクションが必要です。これらはアクセス許可のみの IAM アクションです。IAM プリンシパルにこれらのアクセス許可が付与されていない場合、 を使用して名前空間を共有しようとするとエラーが発生します AWS RAM。

が IAM AWS RAM を使用する方法の詳細については、AWS RAM 「 ユーザーガイド」の「 が IAM AWS RAM を使用する方法」を参照してください。

共有名前空間の責任とアクセス許可

名前空間の所有者とコンシューマーは、共有名前空間に対して異なるアクションを実行できます。

所有者のアクセス許可

名前空間所有者は、共有名前空間に対して次のアクションを実行できます。

  • コンシューマーアカウントによって作成されたサービスや、これらのサービスに登録されたインスタンスなど、名前空間に関連付けられたサービスにアクセスします。

  • コンシューマーアカウントによって作成されたサービスやこれらのサービスに登録されたインスタンスへのアクセスなど、 名前空間へのアクセスを取り消します。

  • コンシューマーまたは名前空間所有者が共有名前空間で作成したサービスでインスタンスを登録および登録解除するアクセス許可を他のアカウントに設定します。

  • コンシューマーアカウントによって作成されたサービスや登録されたインスタンスなど、サービスを削除し、インスタンスの登録を解除します。

  • 共有名前空間を更新または削除します。

コンシューマーのアクセス許可

名前空間コンシューマーは、共有名前空間で次のアクションを実行できます。

  • 名前空間でサービスを作成および削除します。

  • 名前空間で作成されたサービスでインスタンスを登録および登録解除します。

  • 名前空間で作成されたサービスに登録されているインスタンスを検出します。

コンシューマーは、共有名前空間を更新または削除することはできません。共有名前空間へのアクセスが失われると、コンシューマーアカウントは名前空間で作成したサービスにもアクセスできなくなります。

請求と使用量測定

所有者は、共有名前空間に登録したインスタンスと、これらのインスタンスの登録時に作成された Route 53 ヘルスチェックに対して課金されます。コンシューマーは、名前空間に登録したインスタンスと、これらのインスタンスの登録時に作成された Route 53 ヘルスチェックに対して課金されます。共有名前空間が DNS 名前空間の場合、名前空間の所有者は、名前空間にサービスが作成されたときに作成された Route 53 DNS レコードに対して課金されます。所有者は、 DiscoverInstancesおよび DiscoverInstancesRevision呼び出しに対して課金されます。コンシューマーは、 DiscoverInstancesおよび DiscoverInstancesRevision呼び出しに対して課金されます。

クォータ

共有名前空間は、リージョンクォータあたりの名前空間所有者の名前空間にのみカウントされます。共有名前空間でコンシューマーによって登録されたインスタンスは、名前空間クォータごとに所有者のインスタンスにカウントされます。コンシューマーが共有名前空間にサービスを作成する場合、サービスに登録されたインスタンスは、サービスクォータあたりのコンシューマーのインスタンスにカウントされます。所有者が共有名前空間にサービスを作成する場合、サービスに登録されたインスタンスは、サービスクォータあたりの所有者のインスタンスにカウントされます。