AWS アカウント間でのリソースの複製または移行 - AWS 規範ガイダンス
AWS AppConfigAWS Certificate ManagerAmazon CloudFrontAWS CodeArtifactAmazon DynamoDBAmazon EBSAmazon EC2Amazon ECRAmazon EFSAmazon ElastiCache (Redis OSS)AWS Elastic BeanstalkElastic IP アドレスAWS LambdaAmazon LightsailAmazon NeptuneAmazon OpenSearch ServiceAmazon RDSAmazon RedshiftAmazon Route 53Amazon S3Amazon SageMaker AIAWS WAF

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS アカウント間でのリソースの複製または移行

単一アカウントアーキテクチャから AWS アカウント マルチアカウントアーキテクチャに移行した後は、本番ワークロードと非本番ワークロードが既存のアカウントで実行されることが一般的です。これらのリソースを専用の本番用アカウントと非本番用アカウント、または組織単位に移行することで、これらのワークロードへのアクセスとネットワークを管理しやすくなります。一般的な AWS リソースを別のリソースに移行するためのオプションを以下に示します AWS アカウント。

このセクションでは、 AWS アカウント間でデータを複製する戦略に焦点を当てます。アカウント間でコンピューティングリソースを複製する必要がないように、ワークロードはできるだけステートレスになるように努める必要があります。また、環境を別の AWS アカウントに再プロビジョニングできるように、Infrastructure as Code (IaC) からリソースを管理することも有益です。

AWS AppConfig 設定と環境

AWS AppConfig では、設定を別の に直接コピーすることはできません AWS アカウント。ただし、環境をホスト AWS アカウント している とは別に AWS AppConfig 設定と環境を管理するのがベストプラクティスです。詳細については、「Cross-account configuration with AWS AppConfig (AWS blog post)」を参照してください。

AWS Certificate Manager 証明書

証明書のプライベートキーの暗号化に使用される AWS Certificate Manager () キーは AWS リージョン および アカウントごとに一意であるため、あるアカウントから別のアカウントに AWS Key Management Service (ACM AWS KMS) 証明書を直接エクスポートすることはできません。ただし、複数のアカウントとリージョンにある同じドメイン名の複数の証明書を同時にプロビジョニングできます。ACM は DNS (推奨) または E メールによるドメイン所有権の検証をサポートしています。DNS 検証を使用して新しい証明書を作成すると、ACM は証明書のすべてのドメインに固有の CNAME レコードを生成します。CNAME レコードはアカウントごとに異なるため、証明書を適切に検証するには 72 時間以内に Amazon Route 53 ホストゾーンまたは DNS プロバイダーに追加する必要があります。

Amazon CloudFront ディストリビューション

Amazon CloudFront は、ある から別の AWS アカウント へのディストリビューションの移行をサポートしていません AWS アカウント。ただし、代替ドメイン名 (CNAME) をディストリビューションから別のディストリビューションへ移行することは CloudFront でサポートしています。詳細については、CloudFront ディストリビューション (Knowledge Center) の CNAME エイリアスを設定するときに CNAMEAlreadyExists エラーを解決する方法」を参照してください。AWS

AWS CodeArtifact ドメインとリポジトリ

1 つの組織が複数のドメインを使用することもできますが、公開されたアーティファクトをすべて含む 1 つの本番ドメインを使用することをお勧めします。これにより、開発チームは組織全体でパッケージを見つけて共有できます。ドメインを所有 AWS アカウント する は、ドメインに関連付けられたリポジトリを所有するアカウントとは異なる場合があります。パッケージはリポジトリ間でコピーできますが、同じドメインに属している必要があります。詳細については、「Copy packages between repositories」(CodeArtifact ドキュメント) を参照してください。

Amazon DynamoDB テーブル

Amazon DynamoDB テーブルを別の AWS アカウントに移行するには、次のサービスのいずれかを使用できます。

  • AWS Backup

  • Amazon S3 への DynamoDB インポートとエクスポート

  • Amazon S3 と AWS Glue

  • AWS Data Pipeline

  • Amazon EMR

詳細については、「Amazon DynamoDB テーブル AWS アカウント を別のテーブルに移行する方法 (AWS ナレッジセンター)」を参照してください。

Amazon EBS ボリューム

既存の Amazon Elastic Block Store (Amazon EBS) ボリュームのスナップショットを取得し、そのスナップショットをターゲットアカウントと共有して、ターゲットアカウントでボリュームのコピーを作成できます。これにより、ボリュームをあるアカウントから別のアカウントに効果的に移行します。詳細については、「暗号化された Amazon EBS スナップショットまたはボリュームを別の (ナレッジセンター) と共有する方法 AWS アカウント」を参照してください。AWS

Amazon EC2 インスタンスまたは AMI

既存の Amazon Elastic Compute Cloud (Amazon EC2) インスタンスや Amazon マシンイメージ (AMI) を別の AWS アカウントに直接転送することはできません。代わりに、ソースアカウントでカスタム AMI を作成し、その AMI をターゲットアカウントと共有して、ターゲットアカウントの共有 AMI から新しい EC2 インスタンスを起動し、共有 AMI の登録を解除できます。

Amazon ECR レジストリ

Amazon Elastic Container Registry (Amazon ECR) は、クロスアカウントレプリケーションとクロスリージョンレプリケーションの両方をサポートしています。ソースレジストリでレプリケーションを設定して、ターゲットレジストリでレジストリのアクセス許可ポリシーを設定します。詳細については、「クロスアカウントレプリケーションの設定」および「ソースアカウントのルートユーザーにすべてのリポジトリのレプリケーションを許可する」(Amazon ECR ドキュメント) を参照してください。

Amazon EFS ファイルシステム

Amazon Elastic File System (Amazon EFS) は、クロスアカウントレプリケーションとクロスリージョンレプリケーションをサポートしています。ソースファイルシステムでレプリケーションを設定できます。詳細については、「ファイルシステムのレプリケーション」(Amazon EFS ドキュメント) を参照してください。

Amazon ElastiCache (Redis OSS) クラスター

Amazon ElastiCache (Redis OSS) データベースクラスターのバックアップを使用して、別のアカウントに移行できます。詳細については、ElastiCache (Redis OSS) クラスターを移行するためのベストプラクティスは何ですか (AWS Knowledge Center)」を参照してください。

AWS Elastic Beanstalk 環境

では AWS Elastic Beanstalk、保存された設定 (Elastic Beanstalk ドキュメント) を使用して、環境を別の に移行できます AWS アカウント。詳細については、「Elastic Beanstalk 環境 AWS アカウント を移行する方法 AWS アカウント」(AWS ナレッジセンター) を参照してください。

Elastic IP アドレス

Elastic IP アドレス AWS アカウント は、同じ にある 間で転送できます AWS リージョン。詳細については、「Elastic IP アドレスを移管する」(Amazon VPC ドキュメント) を参照してください。

AWS Lambda レイヤー

デフォルトでは、作成した AWS Lambda レイヤーは に対してプライベートです AWS アカウント。ただし、必要に応じてレイヤーを他の と共有 AWS アカウント したり、公開したりできます。レイヤーをコピーするには、別の で再プロビジョニングします AWS アカウント。詳細については、「レイヤー権限の設定」(Lambda ドキュメント) を参照してください。

Amazon Lightsail インスタンス

Amazon Lightsail インスタンスのスナップショットを作成し、そのスナップショットを Amazon マシンイメージ (AMI) と Amazon EBS ボリュームの暗号化されたスナップショットにエクスポートできます。詳細については、「Amazon Lightsail スナップショットを Amazon EC2 にエクスポートする」(Lightsail ドキュメント) を参照してください。デフォルトでは、スナップショットは AWS Key Management Service () で作成された AWS マネージドキーで暗号化されますAWS KMS。ただし、このタイプの KMS キーは共有できません AWS アカウント。代わりに、ターゲットアカウントから使用できるカスタマー管理キーを使用して AMI のコピーを手動で暗号化します。詳細については、「他のアカウントのユーザーに KMS キーの使用を許可する (AWS KMS ドキュメント)」を参照してください。その後、コピーした AMI をターゲットと共有 AWS アカウント し、コピーした AMI Lightsailから 用の新しい EC2 インスタンスを起動できます。詳細については、「新しいインスタンス起動ウィザードを使用してインスタンスを起動する」(Amazon EC2 ドキュメント) を参照してください。

Amazon Neptune クラスター

Amazon Neptune データベースクラスターの自動スナップショットを別の AWS アカウントにコピーできます。詳細については、「Copying a database (DB) cluster snapshot」(Neptune ドキュメント) を参照してください。

手動スナップショットは最大 20 のAWS アカウント と共有して、そのスナップショットから DB クラスターを直接復元することもできます。詳細については、「Sharing a DB Cluster Snapshot」(Neptune ドキュメント) を参照してください。

Amazon OpenSearch Service ドメイン

Amazon OpenSearch Service ドメイン間でデータをコピーするには、Amazon S3 を使用してソースドメインのスナップショットを作成し、そのスナップショットを別の AWS アカウントのターゲットドメインに復元できます。詳細については、「How do I restore data from an Amazon OpenSearch Service domain in another AWS アカウント (AWS Knowledge Center)」を参照してください。

間にネットワーク接続がある場合は AWS アカウント、OpenSearch Service のクラスター間レプリケーション (OpenSearch Service ドキュメント) OpenSearch 機能を使用することもできます。

Amazon RDS スナップショット

Amazon Relational Database Service (Amazon RDS) では、DB インスタンスまたはクラスターの手動スナップショットを最大 20 のAWS アカウントと共有できます。共有スナップショットから DB インスタンスまたは DB クラスターを復元できます。詳細については、「How do I share manual Amazon RDS DB snapshots or Aurora DB cluster snapshots with another (Knowledge Center) AWS アカウント」を参照してください。AWS

AWS Database Migration Service (AWS DMS) を使用して、異なるアカウントのデータベースインスタンス間の継続的なレプリケーションを設定することもできます。ただし、これには VPC ピアリングやトランジットゲートウェイなど、アカウント間のネットワーク接続が必要です。

Amazon Redshift クラスター

Amazon Redshift クラスターを別のクラスターに移行するには AWS アカウント、ソースアカウントでクラスターの手動スナップショットを作成し、スナップショットをターゲットと共有してから AWS アカウント、スナップショットからクラスターを復元します。詳細については、「Amazon Redshift でプロビジョニングされたクラスターを別のクラスター (ナレッジセンター) にコピーする方法 AWS アカウント」を参照してください。AWS

Amazon Route 53 のドメインとホストゾーン

Amazon Route 53 のドメインは AWS アカウント間で移管できます。詳細については、「異なる AWS アカウントへのドメインの移管」(Route 53 ドキュメント) を参照してください。

Route 53 ホストゾーンを別のホストゾーンに移行することもできます AWS アカウント。これが推奨される場合や必要な場合の詳細については、「別の AWS アカウントにホストゾーンを移管する」(Route 53 ドキュメント) を参照してください。ホストゾーンを移行する場合、ターゲットの AWS アカウントにホストゾーンを再作成します。手順については、「別の AWS アカウントへのホストゾーンの移行」(Route 53 ドキュメント) を参照してください。

Amazon S3 バケット

Amazon Simple Storage Service (Amazon S3) の同一リージョンレプリケーションを使用して、同じ AWS リージョンにある S3 バケット間でオブジェクトをコピーできます。詳細については、「オブジェクトのレプリケーション」(Amazon S3 ドキュメント) を参照してください。次の点に注意してください:

  • レプリカの所有権を、レプリケート先バケットを所有 AWS アカウント する に変更します。手順については、「レプリカ所有者の変更」(Amazon S3 ドキュメント) を参照してください。

  • バケット所有者条件を更新して、ターゲットバケットの AWS アカウント ID を反映します。詳細については、「バケット所有者条件によるバケット所有者の確認」(Amazon S3 ドキュメントの) を参照してください。

  • 2023 年 4 月現在、新しく作成されたバケットではバケット所有者強制設定が有効になっているため、バケットアクセスコントロールリスト (ACL) とオブジェクト ACL は無効になっています。詳細については、Amazon S3 セキュリティの変更が近づいている」(AWS ブログ記事) を参照してください。

  • S3 バッチプリケーション (Amazon S3 ドキュメント) を使用してレプリケーションが設定される前に存在していたオブジェクトをレプリケートできます。

Amazon SageMaker AI モデル

SageMaker AI モデルは、トレーニング中に Amazon S3 バケットに保存されます。ターゲットアカウントから S3 バケットへのアクセスを許可することで、ソースアカウントに保存されているモデルをターゲットアカウントにデプロイできます。詳細については、Amazon SageMaker AI モデルを別の (ナレッジセンター) にデプロイする方法 AWS アカウント」を参照してください。AWS

AWS WAF ウェブ ACLs

AWS WAF ウェブアクセスコントロールリスト (ウェブ ACLs) は、Amazon CloudFront ディストリビューション、Application Load Balancer、Amazon API Gateway REST APIs、 AWS AppSync GraphQL APIs など、関連付けられているリソースと同じアカウントに存在する必要があります。を使用して AWS Firewall Manager 、組織全体 AWS Organizations の AWS WAF ウェブ ACLsリージョン間で一元管理できます。詳細については、「AWS Firewall ManagerAWS WAF ポリシーの開始方法」(Firewall Manager ドキュメント) を参照してください。