AWS RAM アクセス許可の管理 - AWS Resource Access Manager
マネージドアクセス許可のしくみ管理アクセス許可のタイプ

AWS RAM アクセス許可の管理

AWS RAM には、AWS 管理アクセス許可とカスタマー管理アクセス許可の 2 種類の管理アクセス許可があります。

管理アクセス許可は、コンシューマーがリソース共有内のリソースに対してどのような操作ができるかを定義します。リソース共有を作成する際に、リソース共有に含まれるリソースタイプごとに、どの管理アクセス許可を使用するかを指定する必要があります。管理アクセス許可のポリシーテンプレートには、プリンシパルとリソースを除いて、リソースベースのポリシーに必要なものがすべて含まれています。リソースベースのポリシーは、リソースの Amazon リソースネーム (ARN) とリソース共有に関連付けられたプリンシパルの ARN によって構成されます。次に AWS RAM は、リソース共有内のすべてのリソースにアタッチするリソースベースのポリシーを作成します。

各管理アクセス許可には、1 つまたは複数のバージョンを含めることができます。管理アクセス許可には、必ず 1 つのバージョンがデフォルトバージョンとして指定されています。新しいバージョンを作成し、その新しいバージョンをデフォルトとして指定することで、AWS がリソースタイプの AWS 管理アクセス許可を更新することがあります。新しいバージョンを作成して、カスタマー管理アクセス許可を更新することもできます。リソース共有に既にアタッチされている管理アクセス許可は自動的に更新されません。新しいデフォルトバージョンが使用可能になると AWS RAM コンソールに表示され、新しいデフォルトバージョンでの変更を以前のバージョンと比較して確認できます。

注記

できるだけ早く AWS 管理アクセス許可の新しいバージョンに更新することをお勧めします。これらの更新では通常、AWS RAM を使用して追加のリソースタイプを共有できる新しいまたは更新された AWS のサービスに対するサポートが追加されます。新しいデフォルトバージョンでは、セキュリティの脆弱性に対処して修正することもできます。

重要

リソース共有には、管理アクセス許可のデフォルトバージョンのみをアタッチできます。

使用可能なマネージドアクセス許可の一覧は、いつでも取得できます。詳細については、「 マネージドアクセス許可の表示」を参照してください。

トピック

マネージドアクセス許可のしくみ

概要については、管理アクセス許可を使用して AWS リソースに最小特権でアクセスするというベストプラクティスを適用する方法について説明する以下の動画を参照してください。

このビデオでは、最小特権のベストプラクティスに従って、カスタマー管理アクセス許可の作成および関連付けを行う方法について説明します。詳細については、「AWS RAM でのカスタマー管理アクセス許可の作成と使用」を参照してください。

リソース共有を作成する際に、リソースタイプごとに AWS 管理アクセス許可を関連付けます。管理アクセス許可に複数のバージョンがある場合、新しいリソース共有では常にデフォルトとして指定されたバージョンが使用されます。

リソース共有を作成すると、AWS RAM は管理アクセス許可を使用してリソースベースのポリシーを生成し、それを各共有リソースにアタッチします。

管理アクセス許可のポリシーテンプレートは、以下を指定します。

効果

共有リソースについてオペレーションを実行するプリンシパルのアクセス許可を Allow するか Deny するかを示します。管理アクセス許可の場合、効果は常に Allow です。詳細については、 ユーザーガイドの「効果」を参照してください。

アクション

プリンシパルに実行アクセス許可が付与されているオペレーションのリスト。AWS マネジメントコンソール ではアクション、AWS Command Line Interface (AWS CLI) もしくは AWS API ではオペレーションです。アクションは、AWS アクセス許可で定義されます。詳細については、IAM ユーザーガイドの「アクション」を参照してください。

条件

プリンシパルがリソース共有内のリソースをいつ、どのように操作できるか。条件は、共有リソースに追加のセキュリティレイヤーを加えます。これらを使用して、機密データへの操作に対する共有リソースへのアクセスを制限します。例えば、特定の企業の IP アドレス範囲からアクションを実行するように要求する条件や、多要素認証で認証されたユーザーのみにアクションの実行権限を付与する条件を含めることができます。条件の詳細については、「IAM ユーザーズガイド」の「AWS グローバル条件コンテキストキー」を参照してください。サービス固有の条件の詳細については、「サービス認可リファレンス」の「AWS サービスのアクション、リソース、条件キー」を参照してください。

注記

条件は、カスタマー管理アクセス許可、および AWS 管理アクセス許可のサポートされているリソースタイプで使用することができます。

カスタマー管理アクセス許可で使用できない条件については、「AWS RAM でカスタマー管理アクセス許可を使用する際の考慮事項」を参照してください。

管理アクセス許可のタイプ

リソース共有を作成する際、リソース共有に含める各リソースタイプに関連付ける管理アクセス許可を選択します。AWS 管理アクセス許可は、AWS リソース所有サービスによって定義され、AWS RAM によって管理されます。独自のカスタマー管理アクセス許可は、ユーザーが作成し管理します。

  • AWS 管理アクセス許可 — AWS RAM がサポートするリソースごとに 1 つのデフォルト管理アクセス許可があります。追加の管理アクセス許可のいずれかを明示的に選択しない限り、デフォルトの管理アクセス許可がリソースタイプで使用されます。デフォルトの管理アクセス許可は、指定されたタイプのリソースを共有するという最も一般的な顧客シナリオをサポートすることを目的としています。デフォルトマネージドアクセス許可では、プリンシパルは、リソースタイプのサービスによって定義された特定のアクションを実行できます。例えば、Amazon VPC ec2:Subnet リソースタイプの場合、デフォルトマネージドアクセス許可では、プリンシパルは以下のアクションを実行できます。

    • ec2:RunInstances

    • ec2:CreateNetworkInterface

    • ec2:DescribeSubnets

    デフォルトの AWS 管理アクセス許可は、AWSRAMDefaultPermissionShareableResourceType の形式で名前が付けられます。例えば、ec2:Subnet リソースタイプ の場合、デフォルト AWS マネージドアクセス許可の名前は AWSRAMDefaultPermissionSubnet です。

    注記

    デフォルトの管理アクセス許可は、管理アクセス許可のデフォルトバージョンとは異なります。すべての管理アクセス許可は、デフォルトであるか、一部のリソースタイプでサポートされている追加の管理アクセス許可であるかを問わず、読み取り/書き込みアクセスや読み取り専用アクセスなど、さまざまな共有シナリオをサポートするさまざまな効果とアクションを備えた個別の完全な権限です。管理アクセス許可は、AWS かカスタマー管理かを問わず、複数のバージョンを持つことができ、そのうちの 1 つがその権限のデフォルトバージョンです。

    例えば、フルアクセス (Read および Write) 管理アクセス許可と読み取り専用管理アクセス許可の両方をサポートするリソースタイプを共有する場合、ユーザーは完全なアクセスを付与する管理アクセス許可を含む管理者向けのリソースを 1 つ作成することができます。その後、最小特権の付与というベストプラクティスに従い、読み取り専用の管理アクセス許可を使用して他の開発者とのリソース共有を作成できます。

    注記

    AWS RAM と連携するすべての AWS サービスは、少なくとも 1 つのデフォルト管理アクセス許可をサポートします。各 AWS のサービス で使用可能なアクセス許可は、[マネージド許可ライブラリ] ページで確認できます。このページには、現時点でアクセス許可に関連付けられているリソース共有、外部プリンシパルとの共有が許可されているかどうか (該当する場合) を含め、使用可能なマネージドアクセス許可ごとの詳細が表示されます。詳細については、「 マネージドアクセス許可の表示」を参照してください。

    追加マネージドアクセス許可をサポートしないサービスの場合、リソース共有を作成すると、AWS RAM は、選択したリソースタイプに定義されたデフォルトアクセス許可を自動的に適用します。サポートされている場合、ユーザーは [マネージド型アクセス許可を関連付ける] ページで [カスタマー管理アクセス許可の作成] オプションを選択できます。

  • カスタマー管理アクセス許可 - カスタマー管理アクセス許可は、AWS RAM で共有リソースを使用する場合に、どのような条件下でどのアクションを実行できるかを正確に指定する、ユーザーが作成し管理する管理アクセス許可です。例えば、大規模な IP アドレスの管理に役立つ Amazon VPC IP Address Manager (IPAM) プールの読み取りアクセスを制限する場合を考えてみます。IP アドレスの割り当てはできるものの、他の開発者アカウントが割り当てた IP アドレスの範囲は表示できないようなカスタマー管理アクセス許可を開発者に対して作成することができます。最小特権のベストプラクティスに従って、必要なアクセス許可のみを付与し、共有リソースでタスクを実行できるような環境を構築することができます。