翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# でのアクセス許可の管理AWS RAM
<a name="security-ram-permissions"></a>

にはAWS RAM、[管理アクセス許可とカスタマー管理アクセス許可の 2 種類](getting-started-terms-and-concepts.md#term-managed-permission-version)があります。AWS

管理アクセス許可は、コンシューマーがリソース共有内のリソースに対してどのような操作ができるかを定義します。リソース共有を作成する際に、リソース共有に含まれるリソースタイプごとに、どの管理アクセス許可を使用するかを指定する必要があります。管理アクセス許可のポリシーテンプレートには、プリンシパルとリソースを除いて、リソースベースのポリシーに必要なものがすべて含まれています。リソースの Amazon リソースネーム (ARN) とリソース共有に関連付けられたプリンシパルの ARN は、リソースベースのポリシーの要素を完了します。AWS RAMその後、 はそのリソース共有内のすべてのリソースにアタッチするリソースベースのポリシーを作成します。

各管理アクセス許可には、1 つまたは複数のバージョンを含めることができます。管理アクセス許可には、必ず 1 つのバージョンが**デフォルトバージョンとして指定されています。場合によっては、新しいバージョンを作成し、その新しいバージョンをデフォルトとして指定することで、リソースタイプのAWSマネージドアクセス許可AWSを更新します。新しいバージョンを作成して、カスタマー管理アクセス許可を更新することもできます。リソース共有に既にアタッチされている管理アクセス許可は自動的に更新****されません**。新しいデフォルトバージョンが使用可能になるとAWS RAMコンソールに表示され、新しいデフォルトバージョンでの変更を以前のバージョンと比較して確認できます。

**注記**  
できるだけ早く新しいバージョンのAWSマネージドアクセス許可に更新することをお勧めします。これらの更新により、通常、 を使用して追加のリソースタイプを共有AWS のサービスできる新規または更新された のサポートが追加されますAWS RAM。新しいデフォルトバージョンでは、セキュリティの脆弱性に対処して修正することもできます。

**重要**  
リソース共有には、管理アクセス許可のデフォルトバージョンのみをアタッチできます。

使用可能なマネージドアクセス許可の一覧は、いつでも取得できます。詳細については、「[マネージドアクセス許可の表示](working-with-sharing-view-permissions.md)」を参照してください。

**Topics**
+ [マネージドアクセス許可の表示](working-with-sharing-view-permissions.md)
+ [でのカスタマー管理アクセス許可の作成と使用 AWS RAM](create-customer-managed-permissions.md)
+ [AWS マネージドアクセス許可を新しいバージョンに更新する](working-with-sharing-update-permissions.md)
+ [でカスタマー管理アクセス許可を使用する際の考慮事項 AWS RAM](managed-permission-considerations.md)
+ [マネージドアクセス許可のしくみ](#permissions-work)
+ [管理アクセス許可のタイプ](#permissions-types)

## マネージドアクセス許可のしくみ
<a name="permissions-work"></a>

概要については、管理アクセス許可を使用してAWSリソースに最小特権でアクセスするというベストプラクティスを適用する方法について説明する以下の動画を参照してください。




このビデオでは、最小特権のベストプラクティスに従って、カスタマー管理アクセス許可の作成および関連付けを行う方法について説明します。詳細については、[でのカスタマー管理アクセス許可の作成と使用 AWS RAM](create-customer-managed-permissions.md) を参照してください。

[![AWS Videos](http://img.youtube.com/vi/SQoJOuIDLKM/0.jpg)](http://www.youtube.com/watch?v=SQoJOuIDLKM)


リソース共有を作成するときは、共有する各リソースタイプにAWSマネージドアクセス許可を関連付けます。管理アクセス許可に複数のバージョンがある場合、新しいリソース共有では常にデフォルトとして指定されたバージョンが使用されます。

リソース共有を作成すると、 は マネージドアクセス許可AWS RAMを使用して、各共有リソースにアタッチされたリソースベースのポリシーを生成します。

管理アクセス許可のポリシーテンプレートは、以下を指定します。

**効果**  
共有リソースについてオペレーションを実行するプリンシパルのアクセス許可を `Allow` するか `Deny` するかを示します。管理アクセス許可の場合、効果は常に `Allow` です。詳細については、* ユーザーガイド*の「[効果](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html)」を参照してください。

**Action**  
プリンシパルに実行アクセス許可が付与されているオペレーションのリスト。これは、 のアクションAWS マネジメントコンソールでも、AWS Command Line Interface(AWS CLI) またはAWS API の オペレーションでもかまいません。アクションは、AWSアクセス許可で定義されます。詳細については、[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html)の「*アクション*」を参照してください。

**Condition**  
プリンシパルがリソース共有内のリソースをいつ、どのように操作できるか。条件は、共有リソースに追加のセキュリティレイヤーを加えます。これらを使用して、機密データへの操作に対する共有リソースへのアクセスを制限します。例えば、特定の企業の IP アドレス範囲からアクションを実行するように要求する条件や、多要素認証で認証されたユーザーのみにアクションの実行権限を付与する条件を含めることができます。条件の詳細については、「**IAM ユーザーズガイド」の「[AWSグローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。サービス固有の条件の詳細については、*「サービス認可リファレンス*」の[AWS「 サービスのアクション、リソース、および条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)」を参照してください。  
条件は、カスタマー管理アクセス許可、およびAWS管理アクセス許可のサポートされているリソースタイプで使用することができます。  
カスタマー管理アクセス許可で使用できない条件については、「[でカスタマー管理アクセス許可を使用する際の考慮事項 AWS RAM](managed-permission-considerations.md)」を参照してください。

## 管理アクセス許可のタイプ
<a name="permissions-types"></a>

リソース共有を作成するときは、リソース共有に含める各リソースタイプに関連付ける管理アクセス許可を選択します。AWS管理アクセス許可は、リソース所有サービスによって定義され、AWSによって管理されますAWS RAM。独自のカスタマー管理アクセス許可は、ユーザーが作成し管理します。
+ **AWS管理アクセス許可** – がサポートするAWS RAMリソースタイプごとに 1 つのデフォルトの管理アクセス許可があります。追加の管理アクセス許可のいずれかを明示的に選択しない限り、デフォルトの管理アクセス許可がリソースタイプで使用されます。デフォルトの管理アクセス許可は、指定されたタイプのリソースを共有するという最も一般的な顧客シナリオをサポートすることを目的としています。デフォルトマネージドアクセス許可では、プリンシパルは、リソースタイプのサービスによって定義された特定のアクションを実行できます。例えば、Amazon VPC `ec2:Subnet` リソースタイプの場合、デフォルトマネージドアクセス許可では、プリンシパルは以下のアクションを実行できます。
  + `ec2:RunInstances`
  + `ec2:CreateNetworkInterface`
  + `ec2:DescribeSubnets`

  デフォルトのAWS管理アクセス許可の名前は、 の形式を使用します`AWSRAMDefaultPermission{{ShareableResourceType}}`。たとえば、 `ec2:Subnet`リソースタイプの場合、デフォルトのAWS管理アクセス許可の名前は です`AWSRAMDefaultPermissionSubnet`。
**注記**  
デフォルトの管理アクセス許可は、管理アクセス許可のデフォルト[**バージョン](getting-started-terms-and-concepts.md#term-managed-permission-version)とは異なります。すべての管理アクセス許可は、デフォルトであるか、一部のリソースタイプでサポートされている追加の管理アクセス許可であるかを問わず、読み取り/書き込みアクセスや読み取り専用アクセスなど、さまざまな共有シナリオをサポートするさまざまな効果とアクションを備えた個別の完全な権限です。管理アクセス許可は、AWSかカスタマー管理かを問わず、複数のバージョンを持つことができ、そのうちの 1 つがその権限のデフォルトバージョンです。

  例えば、フルアクセス (`Read` および `Write`) 管理アクセス許可と読み取り専用管理アクセス許可の両方をサポートするリソースタイプを共有する場合、ユーザーは完全なアクセスを付与する管理アクセス許可を含む管理者向けのリソースを 1 つ作成することができます。その後、[最小特権の付与というベストプラクティス](https://docs.aws.amazon.com//IAM/latest/UserGuide/best-practices.html#grant-least-privilege)に従い、読み取り専用の管理アクセス許可を使用して他の開発者とのリソース共有を作成できます。
**注記**  
と連携するすべてのAWSサービスは、少なくとも 1 つのデフォルトの管理アクセス許可AWS RAMをサポートします。各AWS のサービスで使用可能なアクセス許可は、**[[マネージド許可ライブラリ]](https://console.aws.amazon.com/ram/home#Permissions:)** ページで確認できます。このページには、現時点でアクセス許可に関連付けられているリソース共有、外部プリンシパルとの共有が許可されているかどうか (該当する場合) を含め、使用可能なマネージドアクセス許可ごとの詳細が表示されます。詳細については、「[マネージドアクセス許可の表示](working-with-sharing-view-permissions.md)」を参照してください。  
追加のマネージドアクセス許可をサポートしていないサービスの場合、リソース共有を作成すると、 は選択したリソースタイプに定義されたデフォルトのアクセス許可AWS RAMを自動的に適用します。サポートされている場合、ユーザーは **[マネージド型アクセス許可を関連付ける]** ページで **[カスタマー管理アクセス許可の作成]** オプションを選択できます。
+ **カスタマー管理アクセス許可** - カスタマー管理アクセス許可は、AWS RAMで共有リソースを使用する場合に、どのような条件下でどのアクションを実行できるかを正確に指定する、ユーザーが作成し管理する管理アクセス許可です。例えば、大規模な IP アドレスの管理に役立つ Amazon VPC IP Address Manager (IPAM) プールの読み取りアクセスを制限する場合を考えてみます。IP アドレスの割り当てはできるものの、他の開発者アカウントが割り当てた IP アドレスの範囲は表示できないようなカスタマー管理アクセス許可を開発者に対して作成することができます。最小特権のベストプラクティスに従って、必要なアクセス許可のみを付与し、共有リソースでタスクを実行できるような環境を構築することができます。